Ssl сертификат бесплатный от яндекса: Взаимодействие по SSL. Руководство разработчика

Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.

Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.

Начнем с самых распространенных SSL сертификатов.

SSL сертификаты самый распространенный на данный момент тип сертификатов в Интернет. Чаще всего они используются в интернет-магазинах, то есть на сайтах, где есть функция заказа и где клиент вводит свои персональные данные. Для того, чтобы эти данные в момент передачи из браузера на сервер невозможно было перехватить используется специальный протокол HTTPS, который шифрует все передаваемые данные.

Для того, чтобы активировать возможность работы протокола HTTPS как раз и нужны цифровые SSL сертификаты (также потребуется выделенный IP для конкретного сайта).

Что такое SSL сертификат?

Как получить SSL сертификат?

Плюс самоподписного сертификата — это его цена, точнее ее отсутствие, так как вы не платите ни копейки, за такой сертификат. А вот из минусов — это то, что на такой сертификат все браузеры будут выдавать ошибку, с предупреждением, что сайт не проверен.

То есть для служебных целей и для внутреннего использования такие сертификаты подходят, а вот для публичных сайтов, а тем более для сайтов, которые продают услуги, такие сертификаты противопоказаны. Посудите сами, хотели бы вы, чтобы ваш клиент при заказе услуги увидел вот такую ошибку на весь экран? Как показывает практика, большинство клиентов такая страничка вводит в ступор и отбивает желание продолжать заказ дальше.

Почему же браузеры выдают такое предупреждение для самоподписных сертификатов и как этого избежать? Чтобы ответить на этот вопрос потребуется немного рассказать про сами принципы работы SSL сертификатов.

По какому принципу работает SSL сертификат?

Публичный ключ не является секретным и он помещается в запрос CSR.
Вот пример такого запроса:
——BEGIN CERTIFICATE REQUEST——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——END CERTIFICATE REQUEST——

Данные которые содержатся в этом ключе можно легко проверить с помощью сервисов CSR Decoder. Как пример: CSR Decoder 1 или CSR Decoder 2. Второй сервис выдает больше информации о CSR и проверяет ее на валидность, поле Signature в результатах проверки.

Если мы вставим такой запрос в форму для его расшифровки, то увидим, какие данные содержатся в публичном ключе.

CSR Information:
Common Name: tuthost.ua — доменное имя, которое мы защищаем таким сертификатом
Organization: TutHost — название организации, которой принадлежит домен
Organization Unit: Hosting department — подразделение организации
Locality: Kiev — город, где находится офис организации
State: Kiev — область или штат
Country: UA — двухбуквенный код, страны офиса.
Email: [email protected] — контактный email технического администратора или службы поддержки

Важный момент — обратите внимание на поле Country — формат этого поля подразумевает только двухбуквенный код по стандарту ISO 3166-1, если вы не уверены в коде вашей страны, то проверить его можно например тут: Таблица ISO-3166-1. Я обращаю внимание на это поле, потому, что самая частая ошибка у наших клиентов при генерации запроса CSR — это неправильный код страны. И как следствие с такой CSR произвести выпуск сертификата невозможно.

После того как CSR сгенерирован вы можете приступать к оформлению заявки на выпуск сертификата. Во время этого процесса центр сертификации (CA — Certification Authority) произведет проверку введенных вами данных, и после успешной проверки выпустит SSL сертификат с вашими данными и даст возможность вам использовать HTTPS. Ваш сервер автоматически сопоставит выпущенный сертификат, со сгенерированным приватным ключем. Это означает, что вы готовы предоставлять зашифрованное и безопасное соединение между вашим сайтом и браузером клиентов.

Какие данные содержит в себе SSL сертификат?

• полное (уникальное) имя владельца сертификата
• открытый ключ владельца
• дата выдачи ssl сертификата
• дата окончания сертификата
• полное (уникальное) имя центра сертификации
• цифровая подпись издателя

Что такое центры сертификации (CA)?

Так вот, разница между самоподписными бесплатным и платными сертификатами, выданными центром сертификации как раз и заключается в том, что данные в сертификате проверены центром сертификации и при использовании такого сертификата на сайте ваш посетитель никогда не увидит огромную ошибку на весь экран.

Говоря в общем, SSL сертификаты содержат и отображают (как минимум одно из) ваше доменное имя, ваше название организации, ваш адрес, город и страницу. Также сертификат всегда имеет дату окончания и данные о центре сертификации, ответственного за выпуск сертификата. Браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: он не просрочен ли сертификат, потом он проверяет, выпущен ли сертификат известным ему центром сертификации (CA) используется ли сертификат на сайте, для которого он был выпущен.

Если один из этих параметров не проходит проверку, браузер отображает предупреждение посетителю, чтобы уведомить, что этот сайт не использует безопастное соединение SSL. Он предлагает покинуть сайт или продолжить просмотр, но с большой осторожностью. Это последнее, что вы должны увидеть ваши потенциальные клиенты.

Центров сертификации существует достаточно много, вот перечень самых популярных:
Comodo — работает с 1998 штабквартира в Jersey City, New Jersey, США.
Geotrust — основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, США
Symantec — бывший Verisign в состав которого входит и Geotrust. Купил всех в 2010 году.
Thawte — основан в 1995, продан Verisign в 1999.
Trustwave — работает с 1995, штабквартира Chicago, Illinois, США.

Как видим самый крупный игрок на рынке SSL сертификатов это Symantec, который владеет тремя крупнейшими центрами сертификации — Thawte, Verisgin и Geotrust.

Есть ли разница в каком центре сертификации заказывать сертификат?

Чтобы проверить, корневые сертификаты каких центров сертификации установлены в вашем браузере, достаточно в настройках вашего браузера найти такую опцию. (В Chrome Настройки -> показать дополнительные настройки -> управление сертификатами -> Доверенные корневые центры сертификации). В Chrome установлено более 50 таких корневых сертификатов.

Важный момент — частенько у клиентов возникала ситуация, когда SSL сертификат на серверe установлен, но при заходе на сайт браузер все равно выдает ошибку. Такая ситуация может возникнуть или из-за отсутствия в файле ca-bundle.crt корневого сертификата центра выдавшего сертификат или из-за того, что корневой сертификат устарел. Корневые сертификаты также имеют свой срок действия (в браузерах они обновляются при обновлении браузера).

С июля 2010 года сертификационные центры перешли на использование ключей 2048bit RSA Keys, поэтому для корректной работы всех новых сертификатов необходимо устанавливать новые корневые сертификаты.
Если новые корневые сертификаты не установлены — это может вызвать проблемы с корректной установкой сертификата и распознаванием его некоторыми из браузеров.
Ссылки на странички центров сертификации, где можно скачать новые корневые сертификаты даны ниже.

RapidSSL Certificate

Итак мы вплотную подошли к видам SSL сертификатов.

Какие виды SSL сертификатов существуют?

Между собой сертификаты отличаются свойствами и уровнем валидации.

Типы сертификатов по типу валидации

• Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV).
• Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV).
• Сертификаты, с расширенной проверкой (Extendet Validation — EV).

Сертификаты, подтверждающие только домен

Важный момент, что это письмо может быть отправлено только на так называемый approver email, который вы указываете при заказе сертификата. И к адресу approver email есть определенные требования, он должен быть либо в том же домене для которого вы заказываете сертификат, либо он должен быть указан в whois домена.
Если вы указываете email в том же домене, что и сертификат, то указывать любой emal тоже нельзя, он должен соответствовать одному из шаблонов:
admin@
administrator@
hostmaster@
postmaster@
webmaster@

Еще один Важный момент: иногда сертификаты с моментальным выпуском попадают на дополнительную ручную проверку Центром сертификации, сертификаты для проверки выбираются случайным образом. Так что всегда стоит помнить, что есть небольшой шанс, что ваш сертификат будет выпущен не моментально.

Сертификаты SSL с валидацией домена выпускаются, когда центр сертификации проверил, что заявитель имеет права на указанное доменное имя. Проверка информации об организации не проводится и никакая информация об организации в сертификате не отображается.

Сертификаты с валидацией организации.

Процесс выдачи сертификатов OV

Что проверяется в таких случаях?

1. Наличие организации в международных желтых страницах — проверяется не всеми центрами сертифации
2. Наличие в whois домена названия вашей организации — а вот это уже проверят обязательно, и если такое название там не указано от вас скорей всего затребуют гарантийное письмо, в котором нужно указать, что домен действительно принадлежит организации, иногда могут затребовать подтверждение от регистратора
3. Свидетельство о государственной регистрации — требуют все реже, чаще сейчас производится проверка через специальные компании, которые производят проверку существования организации по своим каналам. Например для Украины вас могут проверить по базе ЕДРПОУ
4. Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
5. Проверочный звонок — все чаще правильность телефона проверяют осуществляя звонок, на номер телефона, указанный вами в заказе. При звонке спросят сотрудника, указанного в административном контакте. Не у всех центров сертификации есть русскоговорящие сотрудники, поэтому предупредите человека, который отвечает на телефон, что возможен звонок от англоязычной компании.

Сертификаты с расширенной проверкой.

Вот как это выглядит на сайте у Thawte.

Такие сертификаты обладают наибольшим уровнем доверия, среди продвинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.

SSL cертификаты с расширенной проверкой (EV) выпускаются только когда центр сертификации (CA) выполняет две проверки, чтобы убедиться, что организация имеет право использовать определенный домен плюс центр сертификации выполняет тщательную проверку самой организации. Процесс выпуска сертификатов EV стандартизирован и должен строго соотвествовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:

1. Должен проверить правовую, физическую и операционную деятельности субъекта.
2. Должен убедиться, что организация соответствует официальным документам.
3. Необходимо убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
4. Необходимо убедиться, что организация полностью авторизована для выпуска EV сертификата.

Список того, что конкретно будут проверять такой же как и для сертификатов с проверкой организации.

EV сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций. Для выпуска необходимо 10-14 дней.

Вторая часть правил актуальная для центра сертификации и описывает критерии, которым центр сертификации должен соответствовать перед тем, как получить разрешение на выпуск EV сертификата. Она называется, EV правила аудита, и каждый год происходит проверка на соответствие этим правилам.

Типы SSL сертификатов по своим свойствам.

Обычные SSL сертификаты

SGC сертификаты

Wildcard сертификаты

Совет: посчитайте количество поддоменов, на которые нужен сертификат, иногда бывает выгодней купить отдельно несколько обычных сертификатов.
Цена: от 180$ в год. Как видите, если у вас меньше 9 поддоменов, то дешевле купить обычный сертификат, хотя в использовании будет удобней один wildcard.

SAN сертификаты

EV сертификаты

Сертификаты c поддержкой IDN

• Thawte SSL123 Certificate
• Thawte SSL Web Server
• Symantec Secure Site
• Thawte SGC SuperCerts
• Thawte SSL Web Server Wildcard
• Thawte SSL Web Server with EV
• Symantec Secure Site Pro
• Symantec Secure Site with EV
• Symantec Secure Site Pro with EV

Как выбрать самый дешевый сертификат?

Чем еще отличаются сертификаты между собой

• Скоростью выпуска. Быстрее всего выпускаются сертификаты с валидацией только домена, дольше всего с EV валидацией, от 7 рабочих дней.
• Количество перевыпусков сертификата — у большинства центров сертификации неограниченно. Требуется, если допустили ошибку в данных об организации.
• Гарантия — для некоторых сертификатов есть гарантия от 10.000 $. Это гарантия скорее не для покупателя сертификата, а для посетителя сайта, где установлен сертификат. В случае если посетитель сайта с таким сертификатом пострадает от фрауда и потеряет деньги, то центр сертификации обязуется их ему компенсировать до суммы указанной в гарантии. То есть центр сертификации как бы дает гарантию на свои сертификаты и что их невозможно установить на «левый» домен. На практике такие случае мне не известны поэтому на этот параметр можно не обращать внимание.
• Бесплатный тестовый период — из платных сертификатов есть у symantec secure site, geotrust rapidssl, comodo positive ssl, thawte ssl web server. Также можете для тестов использовать бесплатные сертификаты: StartSSL™ Free
• Возврат средств — есть почти у всех сертификатов в течении 30 дней, хотя бывают и сертификаты без периода moneyback

Полезные утилиты:

1. OpenSSL — самая распространенная утилита для генерации открытого ключа (запроса на сертификат) и закрытого ключа.
   http://www.openssl.org/
2. CSR Decoder — утилита для проверки CSR и данных, которые в нем содержаться, рекомендую использовать перед заказом сертификата.
   CSR Decoder 1 или CSR Decoder 2
   
3. DigiCert Certificate Tester — утилита для проверки корректно самого сертификата
   http://www.digicert.com/help/?rid=011592
   http://www.sslshopper.com/ssl-checker.html
   

В следующих частях постараюсь рассказать про остальные виды сертификатов.

P.S. с удовольствием отвечу на любые вопросы связанные с выбором SSL сертификата в комментариях.
P.P.S. Желающие получить 30% скидку на ssl сертификаты — пишите в личку.

Update: Важный момент — некоторые сертификаты умеют работать на доменах с www и без www, то есть для защиты www.domain.com и domain.com достаточно одного сертификата, но заказывать его нужно на www.domain.com
Актуально для сертификатов:
• RapidSSL
• QuickSSL Premium
• True BusinessID
• True BusinessID with EV

Взаимодействие по SSL — Технологии Яндекса

Сертификат SSL необходим в двух случаях: для защиты пользовательских данных (при использовании Яндекс.Checkout) и для аутентификации соединений с серверами Яндекс.Деньги.

1. Сертификат для защиты персональных данных пользователей

Этот тип сертификата требуется при активации Яндекс.Checkout для любого магазина с уведомлениями о платеже по HTTP (модуль активации CMS или методы активации протокола HTTP ).Его цель — обеспечить передачу пользовательских данных в зашифрованном виде. Для этого подойдет любой готовый сертификат домена. Вы можете получить его бесплатно при активации Яндекс.Карта или купить его в любом официальном центре аутентификации. Самозаверяющий сертификат также приемлем. Совет

Не следует использовать SSL с поддержкой SNI (идентификация имени сервера).

2. Для аутентификации соединений с серверами Яндекс.Деньги

Этот тип сертификата необходим для использования Яндекса.Денежные протоколы для выполнения финансовых транзакций в рамках протокола управления платежами (MWS): возвраты, отсроченные платежи и другие. Это также необходимо для использования протокола массовых выплат и переводов на кошельки. Для этих целей допустим только специальный сертификат SSL, выданный центром сертификации NBCO Yandex.Money LLC (NBCO YM Root).

Если вы не уверены, нужно ли вам получить сертификат или какой тип получить, обратитесь к своему менеджеру Яндекс.Деньги.

Получение SSL-сертификата для взаимодействия с Яндексом.Денежные серверы

Чтобы получить сертификат, создайте запрос сертификата (в формате * .csr), заполните форму заявки на сертификат и отправьте заявку и сертификат по электронной почте своему менеджеру Яндекс.Деньги. Совет

Чтобы сгенерировать запрос сертификата в формате * .csr, используйте OpenSSL.

1. Создание личного ключа

Выполните команду:

  openssl genrsa -aes256 -out private.key 2048  

Введите пароль и подтвердите.Например:

  Введите пароль для private.key: 12345
Проверка - введите пароль для private.key: 12345  

Файл private.key будет создан в каталоге, где была выполнена команда. Совет

Это конфиденциальная информация. Сохраняйте секретность закрытого ключа. Файл, содержащий закрытый ключ, зашифрован и защищен паролем.

2. Создание запроса CSR для сертификата

Выполните команду:

  openssl req -new -key private.key -out request.csr  

Введите обязательный параметр для запроса сертификата. Используйте только латинские символы. Совет

При создании запроса CSR в Windows команда должна указать путь к файлу конфигурации OpenSSL. Для этого добавьте -config «{path}» -out к команде. Пример команды:

req -new -key private.key -config «C: \ openssl-WIN32 \ openssl.cnf» -out request.csr

Пример заполнения параметров запроса сертификата

Параметр	Значение	Примечание
Название страны (двухбуквенный код) [AU]:	RU	Требуется
Название штата или провинции (полное название) :	Россия	Требуется
Название населенного пункта (например, город): []:	Москва	Необязательно
Название организации (например, компания) [Internet Widgits Pty Ltd]:	ООО Предприятие	Введите обязательный параметр для запроса сертификата.Используйте только латинские символы.
Название организационной единицы (например, раздел) []:		Необязательно
Общее имя (например, ВАШЕ имя) []:	/ business / predpriyatie	Обязательно. / business / — обязательная часть этого параметра, которая не должна изменяться. За ним могут следовать любые латинские буквы без пробелов. Например, название вашей компании латинскими буквами.
Адрес электронной почты:	предприятие @ yandex.ru	Обязательный

Параметр	Значение	Примечание
Название страны (2 буквенный код) [AU]:	RU	Требуется
Название штата или провинции (полное название):	Россия	Требуется
Название населенного пункта (например, город): []:	Москва	Необязательно
Название организации (например, компания) [Internet Widgits Pty Ltd]:	ООО Предприятие	Введите необходимый параметр для запроса сертификата.Используйте только латинские символы.
Название организационной единицы (например, раздел) []:		Необязательно
Общее имя (например, ВАШЕ имя) []:	/ business / predpriyatie	Обязательно. / business / — обязательная часть этого параметра, которая не должна изменяться. За ним могут следовать любые латинские буквы без пробелов. Например, название вашей компании латинскими буквами.
Адрес электронной почты:	предприятие @ yandex.ru	Обязательно

Файл request.csr будет создан в каталоге, в котором была выполнена команда.

3. Получение цифровой подписи для заявки на запрос сертификата

Чтобы заполнить заявку на запрос сертификата, необходима цифровая подпись, так как она содержится в файле сертификата.

Чтобы получить цифровую подпись, выполните команду:

  openssl req -in request.csr -noout -text  

Текстовое представление цифровой подписи является частью ответа после строки Signature Algorithm: sha1WithRSAEncryption. Например:

  Алгоритм подписи: sha1WithRSAEncryption
5b: 67: 42: 8c: 5а: а7: BC: БФ: 05: 99: 77: 39: 2e: е7: е7: 5d: 8e: 47:
09: E9: 5а: 46: 62: 3в: б1: 63: 2a: DE: 06: 26: 54: а4: 12: В4: 17: b2:
ч и далее: f4: 3f: с0: 09: й: 7a: 88: 5b: B9: f5: 04: CB: 24: шд: 5f: шд:
3b: f7: 38: 54: 71: 1c: Fe: 98: 17: 66: ае: 72: 2d: 8а: 31: 34: 94: 30:
58: объявления: 79: 60: е5: CA: 24: 83: 8б: с7: 96: 11: с6: D9: с9: 6e: 7a: b0:
83: 20: 96: 96: 08: 72: 38: 3e: 24: DC: 30: 35: f7: 85: f4: d3: 21: 62:
13: 44: 1f: 49: 2a: d3: с2: 73: 2d: 3b: FC: 07: 3f: 20: 8e: d3: с1: с8:
4c: 3b: 69: а3: 24: 56: 1e: 5с: 9с: 2f: ЭБ: 83: 97: 80: 8б: 25: 5d: 6а:
63: 80: 59: 24: с0: 1a: В5: изд: 9f: фа: B9: 6d: 38: DC: 6b: FF: 29: 9e:
24: b7: 95: 07: 37: A9: 71: 90: объявления: b7: 51: d6: 0e: 62: 82: 5d: 39: 8а:
f2: 4a: 06: дБ: 5e: 2в: ае: 4f: с8: 76: 2b: й: E9: 13: 04: е3: 72: с8:
6b: 26: 61: 6c: аа: 07: с1: 3f: 3в: b0: 92: b0: 29: 5f: 74: 14: 7в: 34:
77: с8: с6: 7a: 2f: 33: 55: с5: 0f: 1d: е0: b7: 8: D9: 84: D7: 78: FB:
59: 22: e0: 58: 49: 97: 16: F2: 77: 58: 8б: 8а: аф: f2: аф: 43: b1: а:
27: 58: e1: c2  

4.Заполнение заявки на сертификат

Загрузите заявку на сертификат, заполните ее и распечатайте. Подпишите это и поставьте свою печать на нем. Сканируй это.

Параметр	Описание
CN	Должно совпадать со значением параметра Common Name (т. Е. ВАШЕ имя). Например, / бизнес / предприятие.
Цифровая подпись запроса сертификата	Текстовое представление, полученное на предыдущем шаге.
Название организации латинскими буквами	Должно соответствовать значению параметра «Название организации» (т.е. компании), например [Internet Widgits Pty Ltd].
Причина запроса	Возможные причины: Начальная — для получения первого сертификата. Плановая замена — заменить сертификат, срок действия которого истек. Замена — для замены ранее выданного сертификата после нарушения безопасности. Добавление сервера — для использования нового сертификата на дополнительных серверах или сервисах.
Контактное лицо	Контактная информация для специалиста в случае возникновения вопросов о выданном сертификате.
Адрес электронной почты	Адрес для отправки выданного сертификата.

Параметр	Описание
CN	Должно совпадать со значением параметра Common Name (i.е. Ваше имя). Например, / бизнес / предприятие.
Цифровая подпись запроса сертификата	Текстовое представление, полученное на предыдущем шаге.
Название организации латинскими буквами	Должно соответствовать значению параметра «Название организации» (т.е. компании), например [Internet Widgits Pty Ltd].
Причина запроса	Возможные причины: Начальная — для получения первого сертификата. Плановая замена — заменить сертификат, срок действия которого истек. Замена — для замены ранее выданного сертификата после нарушения безопасности. Добавление сервера — для использования нового сертификата на дополнительных серверах или сервисах.
Контактное лицо	Контактная информация для специалиста в случае возникновения вопросов о выданном сертификате.
Адрес электронной почты	Адрес для отправки выданного сертификата.

5. Отправьте запрос и заявку на сертификат в Яндекс.Деньги

Отправьте файл запроса сертификата (request.csr) и отсканированное приложение своему менеджеру Яндекс.Деньги.

Сертификат будет выдан в течение 2 рабочих дней.

6. Установка сертификата

В ответ на запрос ваш менеджер из Яндекс.Деньги отправит файл с сертификатом.Сертификат действителен в течение 1 года.

Что делать дальше:

1. Разместите сертификат на своем сервере.

2. Добавить путь к сертификату в настройках скриптов, которые взаимодействуют с Яндекс.Деньгами.

3. Если вы проверяете сертификат конечного сервера, загрузите цепочку сертификации (сертификаты центров сертификации NBCO YM Root и NBCO YM Int) и добавьте их в список доверенных корневых и промежуточных центров сертификации в вашей системе.

Подсказка.

При необходимости вы можете сохранить пару «закрытый ключ» — «сертификат» в одном зашифрованном файле PKCS # 12. Чтобы создать такой файл, используйте команду:

  openssl pkcs12 -export -in username.crt -inkey private.key -out username.p12  

Для получения дополнительной информации об установке сертификата обратитесь к менеджеру активации.

Использование SSL-сертификатов

Вам необходимо:

• Используйте цепочку CA для проверки подлинности Яндекса.Денежные серверы и не устанавливайте соединение, если проверка не прошла успешно.

• Используйте свой закрытый ключ и сертификат при установлении соединений с серверами Яндекс.Деньги.

• Сохранять конфиденциальность закрытого ключа.

• Следите за датой истечения срока действия сертификата.

Если закрытый ключ скомпрометирован, вы должны сообщить об этом менеджеру Яндекс.Деньги.

Если срок действия сертификата истекает или он будет скомпрометирован, вы можете получить новый.

 $ echo | openssl s_client -servername  NAME  -connect  ВЕДУЩИЙ: ПОРТ  | \
  sed -ne '/ -BEGIN CERTIFICATE - /, / - END CERTIFICATE- / p'> сертификат.элт 

 $ echo | openssl s_client -servername Google.com -connect google.com:443 | \
  sed -ne '/ -BEGIN CERTIFICATE - /, / - END CERTIFICATE- / p'> certificate.crt