Что такое SSL сертификат? Что такое SSL? SSL-сертификат

TLS и SSL упоминаются в последнее время все чаще и чаще, более актуальным становится использование цифровых сертификатов, и даже появились компании, готовые бесплатно предоставлять цифровые сертификаты всем желающим, чтобы гарантировать шифрование трафика между посещаемыми сайтами и браузером клиента. Нужно это, естественно, для безопасности, чтобы никто в сети не мог получить данные, которые передаются от клиента серверу и обратно. Как же это всё работает и как это использовать? Чтобы это понять, надо, пожалуй, начать с теории, а потом показать на практике. Итак, SSL и TLS.

Что такое SSL и что такое TLS?

SSL — Secure Socket Layer, уровень защищенных сокетов. TLS — Transport Layer Security, безопасность транспортного уровня. SSL является более ранней системой, TLS появился позднее и он основан на спецификации SSL 3.0, разработанной компанией Netscape Communications. Тем не менее, задача у этих протоколов одна — обеспечение защищенной передачи данных между двумя компьютерами в сети Интернет. Такую передачу используют для различных сайтов, для электронной почты, для обмена сообщениями и много еще для чего. В принципе, можно передавать любую информацию таким образом, об этом чуть ниже.

Безопасная передача обеспечивается при помощи аутентификации и шифрования передаваемой информации. По сути эти протоколы, TLS и SSL, работают одинаково, принципиальных различий нет. TLS, можно сказать, является преемником SSL, хотя они и могут использоваться одновременно, причем даже на одном и том же сервере. Такая поддержка необходима для того, чтобы обеспечить работу как с новыми клиентами (устройствами и браузерами), так и с устаревшими, которые TLS не поддерживают. Последовательность возникновения этих протоколов выглядит вот так:

SSL 1.0 — никогда не публиковался
SSL 2.0 — февраль 1995 года
SSL 3.0 — 1996 год
TLS 1.0 — январь 1999 года
TLS 1.1 — апрель 2006 года
TLS 1.2 — август 2008 года

Принцип работы SSL и TLS

Принцип работы SSL и TLS, как я уже сказал, один и тот же. Поверх протокола TCP/IP устанавливается зашифрованный канал, внутри которого передаются данные по прикладному протоколу — HTTP, FTP, и так далее. Вот как это можно представить графически:

Прикладной протокол «заворачивается» в TLS/SSL, а тот в свою очередь в TCP/IP. По сути данные по прикладному протоколу передаются по TCP/IP, но они зашифрованы. И расшифровать передаваемые данные может только та машина, которая установила соединения. Для всех остальных, кто получит передаваемые пакеты, эта информация будет бессмысленной, если они не смогут ее расшифровать.

Установка соединения обеспечивается в несколько этапов:

1) Клиент устанавливает соединение с сервером и запрашивает защищенное подключение. Это может обеспечиваться либо установлением соединения на порт, который изначально предназначен для работы с SSL/TLS, например, 443, либо дополнительным запросом клиентом установки защищенного соединения после установки обычного.

2) При установке соединения клиент предоставляет список алгоритмов шифрования, которые он «знает». Сервер сверяет полученный список со списком алгоритмов, которые «знает» сам сервер, и выбирает наиболее надежный алгоритм, после чего сообщает клиенту, какой алгоритм использовать

3) Сервер отправляет клиенту свой цифровой сертификат, подписанный удостоверяющим центром, и открытый ключ сервера.

4) Клиент может связаться с сервером доверенного центра сертификации, который подписал сертификат сервера, и проверить, валиден ли сертификат сервера. Но может и не связываться. В операционной системе обычно уже установлены корневые сертификаты центров сертификации, с которыми сверяют подписи серверных сертификатов, например, браузеры.

5) Генерируется сеансовый ключ для защищенного соединения. Это делается следующим образом:
— Клиент генерирует случайную цифровую последовательность
— Клиент шифрует ее открытым ключом сервера и посылает результат на сервер
— Сервер расшифровывает полученную последовательность при помощи закрытого ключа
Учитывая, что алгоритм шифрования является асимметричным, расшифровать последовательность может только сервер. При использовании асимметричного шифрования используется два ключа — приватный и публичный. Публичным отправляемое сообщение шифруется, а приватным расшифровывается. Расшифровать сообщение, имея публичный, ключ нельзя.

6) Таким образом устанавливается зашифрованное соединение. Данные, передаваемые по нему, шифруются и расшифровываются до тех пор, пока соединение не будет разорвано.

Корневой сертификат

Чуть выше я упомянул корневой сертификат. Это сертификат авторизационного центра, подпись которым подтверждает, что сертификат, который подписан, является именно тем, который принадлежит соответствующему сервису. В самом сертификате обычно содержится ряд информационных полей, в которых содержится информация об имени сервера, которому выдан сертификат, и сроках действия этого сертификата. Если срок действия сертификата истек, он признается недействительным.

Запрос на подпись (CSR, Certificate Sign Request)

Для получения подписанного серверного сертификата необходимо сгенерировать запрос на подпись (CSR, Certificate Sign Request) и отправить этот запрос авторизационному центру, который вернет подписанный сертификат, устанавливаемый непосредственно на сервер, чуть ниже посмотрим, как это сделать на практике. Сначала генерируется ключ для шифрования, затем на основании этого ключа генерируется запрос на подпись, CSR-файл.

Клиентский сертификат

Клиентский сертификат может быть сгенерирован как для использования в устройствах, так и для использования пользователями. Обычно такие сертификаты используются при двусторонней верификации, когда клиент верифицирует, что сервер действительно тот, за кого себя выдает, и сервер в ответ делает то же самое. Такое взаимодействие называется двусторонней аутентификацией или mutual authentication. Двусторонняя аутентификация позволяет повысить уровень безопасности по сравнению с односторонней, а также может служить заменой аутентификации с использованием логина и пароля.

Цепочка действий по генерации сертификатов

Давайте посмотрим на практике, как происходят действия, связанные с генерацией сертификатов, с самого начала, и при этом на практике.

Первое, что делается — это генерация корневого сертификата. Корневой сертификат подписывается самим собой. А потом уже этим сертификатом будут подписываться другие сертификаты.

$ openssl genrsa -out root.key 2048 Generating RSA private key, 2048 bit long modulus ..........+++ ...........................................+++ e is 65537 (0x10001) $ openssl req -new -key root.key -out root.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :My Company Root Certificate Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name :My Company $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] Getting Private key

Таким образом мы сгенерировали сначала приватный ключ, затем запрос подписи, а затем своим ключом подписали свой же запрос и получили собственный цифровой сертификат, выданный на 10 лет. Пароль (challenge password) при генерации сертификата можно не вводить.

Приватный ключ ОБЯЗАТЕЛЬНО необходимо хранить в надежном месте, имея его можно подписать от вашего имени любой сертификат. А полученный корневой сертификат можно использовать для идентификации того, что сертификат, например, сервера подписан именно нами, а не кем-то еще. Именно такие действия выполняют авторизационные центры, когда генерируют собственные сертификаты. После создания корневого сертификата можно приступать к генерации сертификата сервера.

Просмотр информации о сертификате

Содержимое сертификата можно просмотреть таким образом:

$ openssl x509 -noout -issuer -enddate -in root.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] notAfter=Jan 22 11:49:41 2025 GMT

Мы видим, кто выдал этот сертификат и когда заканчивается срок его годности.

Серверный сертификат

Для подписи сертификата для сервера нам нужно выполнить следующие действия:

1) Сгенерировать ключ
2) Сгенерировать запрос на подпись
3) Отправить CSR-файл в авторизационный центр или подписать самостоятельно

В серверный сертификат может включаться цепочка сертификатов, которыми подписан сертификат сервера, но ее можно также хранить в отдельном файле. В принципе, выглядит всё примерно так же, как и при генерации корневого сертификата

$ openssl genrsa -out server.key 2048 Generating RSA private key, 2048 bit long modulus ...................................................................................+++ ..........................+++ e is 65537 (0x10001) $ openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :www.mycompany.com Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] notAfter=Jan 25 12:22:32 2016 GMT

Таким образом сертификат сервера подписан и мы будем знать, какой организацией выдан этот сертификат. После подписи готовый сертификат можно использовать по назначению, например, установить на веб-сервер.

Установка SSL/TLS-сертификата на сервер с nginx

Для установки SSL/TLS-сертификата на веб-сервер nginx надо выполнить несколько простых шагов:

1) Скопировать файлы.key и.pem на сервер. В различных операционных системах сертификаты и ключи могут храниться в разных директориях. В Debian’е, к примеру, это директория /etc/ssl/certs для сертификатов и /etc/ssl/private для ключей. В CentOS это /etc/pki/tls/certs и /etc/pki/tls/private

2) Прописать необходимые настройки в конфигурационный файл для хоста. Вот как это примерно должно выглядеть (это просто пример):

Server { listen 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # Не рекомендуется использовать SSLv3 !!! # Он здесь только для примера ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / { try_files $uri $uri/ =404; } }

3) Перезапустить nginx

4) Зайти браузером на 443 порт сервера — https://www.mycompany.com и проверить его работоспособность.

Установка SSL/TLS-сертификата на сервер с Apache

Установка SSL/TLS-сертификата на Apache выглядит примерно так же.

1) Скопировать файлы ключа и сертификата на сервер в соответствующие директории

2) Включить модуль ssl для Apache командой «a2enmod ssl», если он еще не включен

3) Создать виртуальный хост, который будет слушать 443 порт. Конфиг будет выглядеть примерно так:

ServerAdmin [email protected] DocumentRoot /var/www Options FollowSymLinks AllowOverride None Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile /etc/ssl/private/server.key # Эта директива добавляет файл, содержащий список # всех сертификатов, которыми подписан сертификат сервера #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions +StdEnvVars SSLOptions +StdEnvVars BrowserMatch "MSIE " \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

При этом надо сделать еще кое-что. Найти в файле httpd.conf, или apache2.conf, или ports.conf, в зависимости от системы, такой участок конфига:

Listen 443

Если такого условия нет, его надо добавить в конфиг. И еще одно: Надо добавить строку

NameVirtualHost *:443

Эта строка может находиться в файле httpd.conf, apache2.conf или ports.conf

4) Перезапустить веб-сервер Apache

Создание клиентского сертификата

Клиентский сертификат создается примерно так же, как серверный.

$ openssl genrsa -out client.key 2048 Generating RSA private key, 2048 bit long modulus ........................+++ ..................................................+++ e is 65537 (0x10001) $ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :Saint-Petersburg Locality Name (eg, city) :^C mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petrersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :Engineering Common Name (e.g. server FQDN or YOUR name) :Ivan Ivanov Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] notAfter=Jan 25 13:17:15 2016 GMT

Если необходим клиентский сертификат в формате PKCS12, создаем его:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Enter Export Password: Verifying - Enter Export Password:

Теперь можно использовать клиентский сертификат для работы с нашим сервером.

Настройка nginx на использование клиентских сертификатов

Чаще всего, как я уже сказал, используется односторонняя аутентификация, обычно проверяется только сертификат сервера. Давайте посмотрим, как заставить веб-сервер nginx проверять клиентский сертификат. Необходимо в секцию server добавить опции для работы с клиентскими сертификатами:

# Корневой сертификат(ы), которым(и) подписан клиентский ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Возможные варианты: on | off | optional | optional_no_ca ssl_verify_client optional; # Глубина проверки цепочки сертификатов, которыми подписан клиентский ssl_verify_depth 2;

После этого надо перезагрузить настройки или сервер целиком и можно проверять работу.

Настройка Apache на использование клиентских сертификатов

Apache настраивается также через добавление дополнительных опций в секцию виртуального хоста:

# Директория, содержащая корневые сертификаты для проверки клиентов SSLCARevocationPath /etc/apache2/ssl.crl/ # или файл, содержащий сертификаты SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # Опция верификации клиента. Возможные варианты: # none, optional, require and optional_no_ca SSLVerifyClient require # Глубина просмотра цепочки подписей. По умолчанию 1 SSLVerifyDepth 2

Как видите, опции примерно такие же, как и для nginx, поскольку процесс проверки организован единообразно.

«Прослушка» информации о сертификате при помощи openssl

Для проверки взаимодействия сервера с клиентскими сертификатами можно проверить, устанавливается ли соединение с использованием TLS/SSL.

На стороне сервера запускаем прослушку порта при помощи openssl:

Openssl s_server -accept 443 -cert server.pem -key server.key -state

На стороне клиента обращаемся к серверу, например, culr’ом:

Curl -k https://127.0.0.1:443

В консоли со стороны сервера можно наблюдать процесс обмена информацией между сервером и клиентом.

Можно также использовать опции -verify [глубина проверки] и -Verify [глубина проверки]. Опция с маленькой буквы запрашивает у клиента сертификат, но он не обязан его предоставлять. С большой буквы — если сертификат не предоставлен, возникнет ошибка. Запустим прослушку со стороны сервера таким образом:

Openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Со стороны сервера ошибка выглядит так:

140203927217808:error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate:s3_srvr.c:3287:

Со стороны клиента так:

Curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Добавим с клиентской стороны сертификат и доменное имя (можно для проверки вписать в файл /etc/hosts имя хоста для адреса 127.0.0.1):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Теперь соединение пройдет успешно и можно устанавливать серверный сертификат на веб-сервер, клиентский отдать клиенту, и работать с ними.

Безопасность

При использовании SSL/TLS одним из основных методов является метод MITM (Man In The Middle), «человек посередине». Этот метод основывается на использовании серверного сертификата и ключа на каком-то узле, который будет прослушивать трафик и расшифровывать информацию, которой обмениваются сервер и клиент. Для организации прослушивания можно использовать, например, программу sslsniff. Поэтому корневой сертификат и ключ обычно желательно хранить на машине, которая не подключена к сети, для подписания приносить запросы на подпись на флэшке, подписывать и так же уносить. И, естественно, делать резервные копии.

В общих чертах именно так и используются цифровые сертификаты и протоколы TLS и SSL. Если есть вопросы/дополнения, пишите в комментарии.

Запись опубликована автором в рубрике с метками , .

Навигация по записям

: 29 комментариев

1. cl-service.com

   CSR клиент генерирует сам при заказе сертификата, где сохранять закрытый ключ также решает клиент, для выпуска сертификата нам не нужен закрытый ключ и клиент нам его никак не передает. Естественно если это происходит на обычном виртуальном, то у администраторов с root доступом к серверу есть доступ и к ключам, которые там хранятся.

2. Доброжелатель.

   Тема сисек не раскрыта, ибо описанная технология работы PKI не имеет ничего общего с заголовком темы. Хоть бы для причия ссылки на rfc привел.
   P.S. Был такой анекдот про собаку и блоху.

3. Доброжелатель.

   Нивкоем случае не хотел тебя обидеть. Искал инфу о различии SSl и TLS на практике и твоя ссылка в гугле была первая. Был заинтрегован названием темы. Все круто, так держать!

4. DrAibolit

   Благодарю за толковые пояснения о цифровой сертификации. Я новичок в этом=)
   Надеюсь разъясните следующий вопрос.
   Поскольку в интернет индустрии очень развита тема мошенничества, хотелось бы научиться определять на «вшивость» самостоятельно посещаемые мною сайты (особенно, где присутствуют кашельки и оплаты, инвестиции и т.д) и определять исходя из этого степень моего доверия (приходится часто регистрироваться, оставлять личную информацию, совершать покупки, транзакции, инвестиции). Если я правильно понял, что наличие данной сертификации позволяет сделать такую оценку. Ну и с другой стороны, получить ее не проблема и даже бесплатно.
   Как или с помощью какой программы можно определить наличие цифрового сертификата у того или иного сайта? и желательно его категорию, которая присваивается при выдаче спецорганом SSL DV (выдача сертификата проводится с проверкой только домена), SSL OV (с проверкой организации), EV (с расширенной проверкой юрлица). Мошеннические сайты скорее всего последним вариантом сертификации пользоваться не станут..
   Буду рад, если поведаете еще способы определения надежности сайтов))

   1. mnorin Автор записи

      Какой-то определенной программы для этих целей я еще не встречал, но пару советов по этому поводу могу дать.
      Можно использовать, например, Chromium или Google Chrome. Возьмем, например, сайт https://www.thawte.com/ — компания, которая собственно цифровымисертификатами и занимается.
      В адресной строке будет написано название компании и зеленый замочек. Это значит, что организация проверена, это как минимум SSL OV.
      Если кликнуть на замочек, а в выпавшем окошке «Details», а затем «View Certificate», то можно увидеть информацию о сертификате. Для Thawte сертификат подписан следующим сертификатом: «thawte Extended Validation SHA256 SSL CA», а сертификат для click.alfabank.ru тоже подписан Thawte, но другим сертификатом. Это «thawte EV SSL CA — G3», то есть они тоже проходили Extended Validation.
      Как-то так.

5. Руслан

   Раздел «Принцип работы SSL и TLS», «Клиент генерирует случайную цифровую последовательность».

   Я был уверен что клиент генерирует сеансовый закрытый и, соответственно, открытый ключи (который вы, очевидно, и назвали «цифровая последовательность»). Открытый ключ передаётся серверу и сервер шифрует пакеты в сторону клиента сеансовым открытым клиентским ключом.

   Уточните, пожалуйста.

6. Новичок

   Статья очень полезная! Даже есть практические примеры=) Только я не понял одну вещь — в чем различие между корневым сертификатом и серверным? или это одно и тоже?

7. Виталий

   Здравствуйте.
   Хостер предложил услугу - SSL для виртуальных серверов. Воспользовались. Оказалось, что для третьего уровня, т.е. http://www.site.ru сертификат недействителен, только для site.ru. Притом, посетителей упорно кидает на протокол https, не важно, заходят они на site.ru или на http://www.site.ru . Разумеется, во втором случае браузер начинает истошно ругаться, а посетитель до сайта так и не добирается.
   А для тех, кто до сайта таки добрался, сайт стал выглядеть криво, пропала часть меню, перестала отображаться часть картинок в выдаче некоторыми компонентами.

При попытке доступа к вашему сайту он может быть подменен злоумышленниками даже в том случае, если пользователь правильно ввел его доменное имя.

SSL-сертификаты исключают возможность подобной подмены - просмотрев сертификат, пользователь может убедиться, что на домене размещен именно тот сайт, который там должен быть, а не его дубликат.

Кроме того, SSL-сертификат позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника.

Еще одна важная функция SSL-сертификатов - шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в сети.

SSL-сертификаты рекомендуем устанавливать в разделе сайта, где пользователи вводят конфиденциальные данные, например, на страницах авторизации и оплаты услуг. Наличие на сайте сертификата защищает его от возможных подделок, так как пользователь всегда может убедиться, что сайт подлинный, и проверить, кому он принадлежит.

В целях безопасности SSL-сертификат не переносится на другой договор.

Проверить принадлежность домена в заказе на сертификат можно через электронную почту, указанную для домена в Whois сервисе. Для этого вам нужно обратиться к регистратору домена и прописать в Whois сервисе для него любую электронную почту. Если домен зарегистрирован в RU-CENTER, то для этого укажите почту в личном кабинете:

1. В выберите Услуги → Мои домены .
2. Нажмите на доменное имя как на активную ссылку.
3. В строке Описание в Whois нажмите ссылку Изменить .
4. Укажите электронную почту и нажмите кнопку Сохранить изменения . После этого уведомьте нас о проделанных действиях по адресу .

Если запрос на сертификат CSR вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить - это бесплатно.

1. Зайдите на сайт https://www.upik.de .
2. Выберите язык English .
3. Нажмите ссылку UPIKR-Search with D-U-N-SR number .
4. В поле D&B D-U-N-SR Number введите номер DUNS.
5. В поле Select country выберите страну.
6. На открывшейся карточке компании вы можете проверить наличие номера телефона в поле Telephone number .

Если номер телефона указан некорректно или отсутствует, обратитесь в российское представительство DUN&BRADSTREET - компанию Интерфакс , и внесите или откорректируйте номер телефона в карточке компании. После внесения изменений номер телефона по вашему DUNS будет отображаться только через 7-30 календарных дней.

Чтобы изменить список доменов, на которые распространяется сертификат, необходимо заново создать CSR и пройти процедуру перевыпуска сертификата:

1. В разделе Для клиентов → SSL-сертификаты и выберите нужный сертификат.

3. Если вы хотите создать CSR в процессе заказа - нажмите Продолжить .Если вы будете использовать свой CSR - введите его в появившемся поле. Создание CSR для установки сертификата на Microsoft IIS описано в отдельных инструкциях - они откроются при выборе этого варианта.

4. Внесите изменения в список доменов и нажмите Продолжить .

5. Укажите контактные данные и нажмите Продолжить .

6. Сохраните приватный ключ - он понадобится для установки сертификата на веб-сервер. Нажмите Продолжить .

7. Проверьте корректность и нажмите Отправить заказ .

SSL-сертификаты выпускаются на срок 1-2 года.

Если организация заказывает сертификат на домен, который ей не принадлежит, то для этого необходимо предоставить письмо от владельца домена с разрешением на выпуск сертификата. Шаблон письма будет направлен удостоверяющим центром на контактный адрес электронной почты заказчика сертификата.

Сертификат может подтверждать наличие прав управления доменом, то есть удостоверять только домен. Такие сертификаты относятся к категории . Просмотрев сертификат DV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, то есть что при доступе к сайту пользователь не был перенаправлен злоумышленниками на подложный веб-ресурс. Однако сертификат не содержит информации о том, кому принадлежит сайт - в сертификате не будут указаны сведения о его владельце. Это обусловлено тем, что для получения сертификата его заказчику не требуется предоставлять документальное подтверждение своих идентификационных данных. Следовательно, они могут быть вымышленными (например, заказчик сертификата может выдать себя за другое лицо).

Сертификат может подтверждать наличие прав управления доменным именем и существование организации, у которой есть эти права, то есть удостоверять домен и его владельца. Такие сертификаты относятся к категории . Просмотрев сертификат OV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, а также определить, кому принадлежит этот сайт. Для выпуска данного сертификата его заказчик должен документально подтвердить свои идентификационные данные.

Добрый день, уважаемые подписчики, уверен, что в подавляющем большинстве вы слышали такие слова как сертификат безопасности или шифрования, либо SSL сертификат, и я уверен, что большинство из вас даже знает их назначение., если нет, то я вам об этом очень подробно расскажу на личных примерах, все как полагается, после этого вы уже будите более тонко понимать все рубежи безопасности, которые предоставляют нам SSL сертификаты, без них сейчас уже не возможно представить современный IT мир, с его банковскими переводами, электронной почтой smime или интернет магазинами.

Что такое SSL и TLS

Secure Socket Layer или ssl это, технология, призванная сделать доступ к сайтам более надежным и безопасным. Сертификат шифрования позволяет, надежно защитить трафик, передаваемый между браузером пользователя и веб ресурсом (сервером), к которому браузер обращается, все это происходит за счет протокола https. Сделано, это все после того, как бурное развитие интернета привело к огромному количеству сайтов и ресурсов, которые требуют от пользователя ввод личных, персональных данных:

• Пароли
• Номера кредитных карт
• Переписка

Именно эти данные и являются добычей для хакеров, сколько уже было громких дел, с кражей персональной информации и сколько еще будет, ssl сертификат шифрования, призван это минимизировать. Разработкой технологии SSL выступила компания Netscape Communications, позднее она представила Transport Layer Security или проще TLS, это протокол основанный по спецификации SSL 3.0. И Secure Socket Layer и Transport Layer Security призваны обеспечить передачу данных между двумя узлами по интернету.

SSL и TLS не имеют принципиальных различий в своей работе, могут даже быть использованы на одном сервере одновременно, делается это исключительно из соображений обеспечения работы новых устройств и браузеров, так и устаревших, где Transport Layer Security не поддерживается.

Если рассматривать современный интернет, то там в качестве сертификата безопасности сервера и шифрования используется TLS, просто знайте это

Для примера откройте сайт Яндекса, я это делаю в Google Chrome, там на против адресной строки есть значок замка, щелкаем по нему. Тут будет написано, что подключение к веб-сайту защищено и можно нажать подробнее.

сразу видим значок Secure TLS connection, как я и говорил, большая часть интернет ресурсов именно на этой технологии. Давайте посмотрим сам сертификат, для этого жмем View certificate.

В поле о сведениях о сертификате видим его предназначение:

1. Обеспечивает получение идентификации от удаленного компьютера
2. Подтверждает удаленному компьютеру идентификацию вашего компьютера
3. 1.2.616.1.113527.2.5.1.10.2

Всегда нужно знать историю, как сертификат шифрования эволюционировал и какие у него выходили версии. Так как зная это и принцип работы, будет проще искать решение проблем.

• SSL 1.0 > данная версия в народ так и не попала, причины, возможно нашли его уязвимость
• SSL 2.0 > эта версия ssl сертификата была представлена в 1995 году, на стыке тысячелетий, она так же была с кучей дыр безопасности, сподвигнувшие компанию Netscape Communications к работе над третье версией сертификата шифрования
• SSL 3.0 > пришел на смену SSL 2.0 в 1996 году. Стало это чудо развиваться и в 1999 году крупные компании Master Card и Visa купили коммерческую лицензию на его использование. Из 3.0 версии появился TLS 1.0
• TLS 1.0 > 99 год, выходит обновление SSL 3.0 под названием TLS 1.0, проходит еще семь лет, интернет развивается и хакеры не стоят на месте, выходит следующая версия.
• TLS 1.1 > 04.2006 это его отправная точка, было исправлено несколько критичных ошибок обработки, а так же появилась защита от атак, где делался режим сцепления блоков шифротекста
• TLS 1.2 > появился в августе 2008
• TLS 1.3 > появится в конце 2016 года

Принцип работы TLS и SSL

Давайте разбираться как работает протоколы SSL и TLS. Начнем с основ, все сетевые устройства имеют четко прописанный алгоритм общения друг с другом, называется он OSI, который порезан на 7 уровней. В ней есть транспортный уровень отвечающий за доставку данных, но так как модель OSI это некая утопия, то сейчас все работаю по упрощенной модели TCP/IP, из 4 уровней. Стек TCP/IP, сейчас стандарт передачи данных в компьютерных сетях и он включает в себя, большое количество известных вам протоколов прикладного уровня:

Список можно продолжать очень долго, так их более 200 наименований. Ниже представлена схема сетевых уровней.

Ну и схема стека SSL/TLS, для наглядности.

Теперь все тоже самое простым языком, так как не всем понятны эти схемы и принцип работы ssl и tls не понятен. Когда вы открываете например мой блог сайт, то вы обращаетесь по прикладному протоколу http, при обращении сервер видит вас и передает на ваш компьютер данные. Если это представить схематично, то это будет простая матрешка, прикладной протокол http, кладется в стек tcp-ip.

Если бы на сайт стоял бы сертификат шифрования TLS, то матрешка протоколов была бы посложнее и выглядела бы вот так. Тут прикладной протокол http, кладется в SSL/TLS, который в свою очередь кладется в стек TCP/IP. Все тоже самое, но уже зашифровано, и если хакер перехватит эти данные по пути их передачи, то получит всего навсего цифровой мусор, а вот расшифровать данные может только та машина, которая устанавливала соединение с сайтом.

Этапы установки соединения SSL/TLS

Вот еще одна красивая и наглядная схема создания защищенного канала.

Установка соединения SSL/TLS на уровне сетевых пакетов

На иллюстрации, черные стрелки показывают сообщения, которые отправляются открытым текстом, синие - это сообщения, подписанные открытым ключом, а зеленые - это сообщения, отправленные с помощью шифрования объёмных данных и того MAC, о которых стороны договорились в процессе переговоров.

Ну и подробно про каждый этап обмена сетевых сообщений протоколов SSL/TLS.

• 1. ClientHello > пакет ClientHello делает предложение со списком поддерживаемых версий протоколов, поддерживаемые наборы шифров в порядке предпочтения и список алгоритмов сжатия (обычно NULL). Еще от клиента приходит случайное значение 32 байта, его содержимое указывает отметку текущего времени, его позже будут использовать для симметричного ключа и идентификатора сессии, который будет иметь значение ноль, при условии, что не было предыдущих сессий.
• 2. ServerHello > пакет ServerHello, отсылается сервером, в данном сообщении идет выбранный вариант, алгоритма шифрования и сжатия. Тут так же будет случайное значение 32 байта (отметка текущего времени), его также используют для симметричных ключей. Если ID текущей сессии в ServerHello имеет значение ноль, то создаст и вернёт идентификатор сессии. Если в сообщении ClientHello был предложен идентификатор предыдущей сессии, известный данному серверу, то протокол рукопожатия будет проведён по упрощённой схеме. Если клиент предложил неизвестный серверу идентификатор сессии, сервер возвращает новый идентификатор сессии и протокол рукопожатия проводится по полной схеме.
• 3.Certificate (3) > в данном пакете сервер отправляет клиенту свой открытый ключ (сертификат X.509), он совпадает с алгоритмом обмена ключами в выбранном наборе шифров. Вообще можно сказать в протоколе, запроси открытый ключ в DNS, запись типа KEY/TLSA RR. Как я писал выше этим ключом будет шифроваться сообщение.
• 4. ServerHelloDone > Сервер говорит, что сессия установилось нормально.
• 5. ClientKeyExchange > Следующим шагом идет отсылка клиентом ключа pre-master key, используя случайные числа (или отметки текущего времени) сервера и клиента. Данный ключ (pre-master key) как раз и шифруется открытым ключом сервера. Данное сообщение может расшифровать только сервер, с помощью закрытого ключа. Теперь оба участника вычисляют общий секретный ключ master key из ключа pre-master.
• 6. ChangeCipherSpec - клиент > смысл пакета, указать на то, что теперь весь трафик, который идет от клиента, будет шифроваться, с помощью выбранного алгоритма шифрования объёмных данных и будет содержать MAC, вычисленный по выбранному алгоритму.
• 7. Finished - клиент > Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished. Оно шифруется с помощью алгоритма шифрования объемных данных и хэшируется с помощью алгоритма MAC, о которых договорились стороны. Если сервер может расшифровать и верифицировать это сообщение (содержащее все предыдущие сообщения), используя независимо вычисленный им сеансовый ключ, значит диалог был успешным. Если же нет, на этом месте сервер прерывает сессию и отправляет сообщение Alert с некоторой (возможно, неконкретной) информацией об ошибке
• 8. ChangeCipherSpec - сервер > пакет, говорит, что теперь весь исходящий трафик с данного сервера, будет шифроваться.
• 9.Finished - сервер >Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished
• 10. Record Protocol (протокол записи) > теперь все сообщения шифруются ssl сертификатом безопасности

Как получить ssl сертификат безопасности

Давайте теперь поймем где взять сертификат шифрования, или как получить ssl сертификат безопасности. Способов конечно несколько, есть как платные, так и бесплатные.

Бесплатный способ получить tls сертификат безопасности

Этот способ, подразумевает использование самоподписного сертификата (self-signed), его можно сгенерировать на любом веб-сервере с ролью IIS или Apache. Если рассматривать современные хостинги, то в панелях управления, таких как:

• Directadmin
• ISPmanager
• Cpanel

там это штатный функционал. Самый большой плюс в самоподписных сертификатах шифрования, это то, что они бесплатные и начинаются, сплошные минусы, так как никто кроме вас не доверяет этому сертификату, вы наверняка видели в браузерах вот такую картину, где сайт ругается на сертификат безопасности.

Если у вас самоподписный сертификат, используется исключительно для внутренних целей, то это нормально, а вот для публичных проектов, это будет огромный минус, так как ему никто не доверяет и вы лишитесь большого числа клиентов или пользователей, которые у видя ошибку сертификата безопасности в браузере, сразу его закроют.

Давайте смотреть как можно получить ssl сертификат безопасности, для этого формируется запрос на выпуск сертификата, называется он CSR запрос (Certificate Signing Request). Делается это чаще всего у специальной компании в веб форме, которая спросит вас несколько вопросов, про ваш домен и вашу компанию. Как только вы все внесете, сервер сделает два ключа, приватный (закрытый) и публичный (открытый). Напоминаю открытый ключ не является конфиденциальным, поэтому вставляется в CSR запрос. Вот пример Certificate Signing Request запроса.

Все эти не понятные данные легко можно интерпретировать специальными CSR Decoder сайтами.

Примеры двух сайтов CSR Decoder:

• http://www.sslshopper.com/csr-decoder.html
• http://certlogik.com/decoder/

Состав CSR запроса

• Common Name: доменное имя, которое мы защищаем таким сертификатом
• Organization: название организации
• Organization Unit: подразделение организации
• Locality: город, где находится офис организации
• State: область или штат
• Country:двухбуквенный код, страны офиса
• Email: контактный email технического администратора или службы поддержки

Как только Certificate Signing Request сгенерирован, можно начинать оформлять заявку на выпуск сертификата шифрования. Центр сертификации будет производить проверку, всех данных указанных вами в CSR запросе, и если все хорошо, вы получите свой ssl сертификат безопасности и вы его сможете использовать для https. Теперь ваш сервер, автоматом сопоставит выпущенный сертификат, со сгенерированным приватным ключом, все вы можете шифровать трафик подключения клиента к серверу.

Что такое центр сертификации

Что такое CA - Certification Authority или центр сертификации, читайте по ссылке слева, я подробно рассказал об этом там.

Какие данные содержит в себе SSL сертификат

В сертификате хранится следующая информация:

• полное (уникальное) имя владельца сертификата
• открытый ключ владельца
• дата выдачи ssl сертификата
• дата окончания сертификата
• полное (уникальное) имя центра сертификации
• цифровая подпись издателя

Какие существуют виды SSL сертификатов шифрования

Основных видов сертификатов безопасности три:

• Domain Validation - DV > Это сертификат шифрования, который только подтверждает доменное имя ресурса
• Organization Validation - OV > Это сертификат шифрования, который подтверждает организацию и домен
• Extendet Validation - EV > Это сертификат шифрования, который имеет расширенную проверку

Назначение Domain Validation - DV

И так сертификаты шифрования, подтверждающие только домен ресурса, это самые распространенные в сети сертификаты, их делают всех быстрее, автоматически. Когда вам нужно проверить такой сертификат безопасности, отправляется email с гиперссылкой, кликая по которой подтверждается выпуск серта. Хочу отметить, что письмо вам отправят, только не подтвержденный email (approver email), указанный при заказе сертификата шифрования.

approver email так же имеет требования, логично, что если вы заказываете сертификаты шифрования для домена, то и электронный ящик должен быть из него, а не mail или rambler, либо он должен быть указан в whois домена и еще одно требование название approver email, должно быть по такому шаблону:

• webmaster@ваш домен
• postmaster@ваш домен
• hostmaster@ваш домен
• administrator@ваш домен
• admin@

Я обычно беру ящик postmaster@ваш домен

Сертификат tls-ssl подтверждающие доменное имя выпускаются, когда CA произвел валидацию того, что заказчик обладает правами на доменное имя, все остальное, что касается организации в сертификате не отображается.

Назначение Organization Validation - OV

Сертификаты шифрования tls-ssl, будет содержать название вашей организации, его получить частное лицо просто не сможет, его культурно пошлют регистрировать ИП. Делается он от 3 до десяти рабочих дней, все зависит от центра сертификации, который его будет выпускать.

Назначение Extendet Validation - EV

И так, вы направили CSR запрос на выпуск сертификата шифрования для вашей организации, CA начинает проверять, реально ли ИП рога и копыта существуют, как в CSR и принадлежит ли ей домен указанный в заказе.

• Могут посмотреть есть ли организация международных желтых страницах, кто не знает, что это такое, то это телефонные справочники в Америке. Проверяют так не все CA.
• Смотрят whois домена у вашей организации, делают это все центры сертификации, если в whois нет ни слова о вашей организации, то с вас будут требовать гарантийное письмо, что домен ваш.
• Свидетельство о государственной регистрации ЕГРИП или ЕГРЮЛ
• Могут проверить ваш номер телефона, запросив счет у вашей телефонной компании, в котором будет фигурировать номер.
• Могут позвонить и проверить наличие компании по этому номеру, попросят к телефону человека указанного администратором в заказе, так что смотрите, чтобы человек знал английский.

Сам сертификат шифрования extendet Validation - EV, самый дорогой и получается всех сложнее, у них кстати есть green bar, вы его точно видели, это когда на сайте в адресной строке посетитель видит зеленую стоку с названием организации. Вот пример клиент банка от сбербанка.

К расширенным сертификатам шифрования (extendet Validation - EV) самое большое доверие, это и логично вы сразу видите, что компания существует и прошла жесткие требования к выдаче сертификата. SSL cертификаты extendet Validatio делаются CA, только при выполнении двух требований, что организация владеет нужным доменом и, что она сама существует в природе. При выпуске EV SSL сертификатов, существует строгий регламент, в котором описаны требования перед выпуском EV сертификата

• Должен проверить правовую, физическую и операционную деятельности субъекта
• Проверка организации и ее документов
• Право владения доменом, организации
• Проверить, что организация полностью авторизована для выпуска EV сертификата

SSL cертификаты extendet Validatio выпускаются примерно от 10-14 дней, подходят как для некоммерческих организаций, так и для государственных учреждений.

Типы SSL сертификатов шифрования

Следующим важным вопросом, будет какие типы SSL - TLS сертификатов шифрования существуют, и их отличия и стоимость.

• Обычные SSL сертификаты > это самые распространенные сертификаты, делаются автоматически, для подтверждения только домена. Стоят в среднем 18-22 доллара.
• SGC сертификаты > это SSL - TLS сертификаты с поддержкой, более высокого уровня шифрования. Они в основном идут для старперных браузеров, у которых есть поддержка только 40-56 битное шифрование. SGC принудительно повышает уровень шифрования, до 128 бит, что в несколько раз выше. Так как XP доживает свои последние годы, скоро SGC сертификаты шифрования не будут нужны. Стоит это чудо около 300-ста баксов за год.
• Wildcard сертификаты > Требуются, для субдоменов вашего основного домена. Простой пример мой блог сайт, если я покупаю Wildcard, то имею возможно его вешать на все домены 4 уровня у себя, *.сайт. Стоимость Wildcard сертификатов шифрования варьируется от количества поддоменов, от 190 баксов.
• SAN сертификаты > Допустим у вас есть один сервер, но на нем хостятся много разных доменов, вот SAN сертификат можно повесить на сервер и все домены будут использовать его, стоит от 400 баксов в год.
• EV сертификаты > про расширенные мы уже все обсудили выше, стоят от 250 баксов в год.
• Сертификаты c поддержкой IDN доменов

список сертификатов, у которых есть такая поддержка, IDN доменов:

• Thawte SSL123 Certificate
• Thawte SSL Web Server
• Symantec Secure Site
• Thawte SGC SuperCerts
• Thawte SSL Web Server Wildcard
• Thawte SSL Web Server with EV
• Symantec Secure Site Pro
• Symantec Secure Site with EV
• Symantec Secure Site Pro with EV

Полезные утилиты:

1. OpenSSL - самая распространенная утилита для генерации открытого ключа (запроса на сертификат) и закрытого ключа.
   http://www.openssl.org/
2. CSR Decoder - утилита для проверки CSR и данных, которые в нем содержаться, рекомендую использовать перед заказом сертификата.
   http://www.sslshopper.com/csr-decoder.html или http://certlogik.com/decoder/
3. DigiCert Certificate Tester - утилита для проверки корректно самого сертификата
   http://www.digicert.com/help/?rid=011592
   http://www.sslshopper.com/ssl-checker.html

В будущих статьях, мы еще сами по настраиваем CA и будем на практике использовать SSL/TLS сертификаты шифрования.

При попытке доступа к вашему сайту он может быть подменен злоумышленниками даже в том случае, если пользователь правильно ввел его доменное имя.

SSL-сертификаты исключают возможность подобной подмены - просмотрев сертификат, пользователь может убедиться, что на домене размещен именно тот сайт, который там должен быть, а не его дубликат.

Кроме того, SSL-сертификат позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника.

Еще одна важная функция SSL-сертификатов - шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в сети.

SSL-сертификаты рекомендуем устанавливать в разделе сайта, где пользователи вводят конфиденциальные данные, например, на страницах авторизации и оплаты услуг. Наличие на сайте сертификата защищает его от возможных подделок, так как пользователь всегда может убедиться, что сайт подлинный, и проверить, кому он принадлежит.

В целях безопасности SSL-сертификат не переносится на другой договор.

Проверить принадлежность домена в заказе на сертификат можно через электронную почту, указанную для домена в Whois сервисе. Для этого вам нужно обратиться к регистратору домена и прописать в Whois сервисе для него любую электронную почту. Если домен зарегистрирован в RU-CENTER, то для этого укажите почту в личном кабинете:

1. В выберите Услуги → Мои домены .
2. Нажмите на доменное имя как на активную ссылку.
3. В строке Описание в Whois нажмите ссылку Изменить .
4. Укажите электронную почту и нажмите кнопку Сохранить изменения . После этого уведомьте нас о проделанных действиях по адресу .

Если запрос на сертификат CSR вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить - это бесплатно.

1. Зайдите на сайт https://www.upik.de .
2. Выберите язык English .
3. Нажмите ссылку UPIKR-Search with D-U-N-SR number .
4. В поле D&B D-U-N-SR Number введите номер DUNS.
5. В поле Select country выберите страну.
6. На открывшейся карточке компании вы можете проверить наличие номера телефона в поле Telephone number .

Если номер телефона указан некорректно или отсутствует, обратитесь в российское представительство DUN&BRADSTREET - компанию Интерфакс , и внесите или откорректируйте номер телефона в карточке компании. После внесения изменений номер телефона по вашему DUNS будет отображаться только через 7-30 календарных дней.

Чтобы изменить список доменов, на которые распространяется сертификат, необходимо заново создать CSR и пройти процедуру перевыпуска сертификата:

1. В разделе Для клиентов → SSL-сертификаты и выберите нужный сертификат.

3. Если вы хотите создать CSR в процессе заказа - нажмите Продолжить .Если вы будете использовать свой CSR - введите его в появившемся поле. Создание CSR для установки сертификата на Microsoft IIS описано в отдельных инструкциях - они откроются при выборе этого варианта.

4. Внесите изменения в список доменов и нажмите Продолжить .

5. Укажите контактные данные и нажмите Продолжить .

6. Сохраните приватный ключ - он понадобится для установки сертификата на веб-сервер. Нажмите Продолжить .

7. Проверьте корректность и нажмите Отправить заказ .

SSL-сертификаты выпускаются на срок 1-2 года.

Если организация заказывает сертификат на домен, который ей не принадлежит, то для этого необходимо предоставить письмо от владельца домена с разрешением на выпуск сертификата. Шаблон письма будет направлен удостоверяющим центром на контактный адрес электронной почты заказчика сертификата.

Сертификат может подтверждать наличие прав управления доменом, то есть удостоверять только домен. Такие сертификаты относятся к категории . Просмотрев сертификат DV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, то есть что при доступе к сайту пользователь не был перенаправлен злоумышленниками на подложный веб-ресурс. Однако сертификат не содержит информации о том, кому принадлежит сайт - в сертификате не будут указаны сведения о его владельце. Это обусловлено тем, что для получения сертификата его заказчику не требуется предоставлять документальное подтверждение своих идентификационных данных. Следовательно, они могут быть вымышленными (например, заказчик сертификата может выдать себя за другое лицо).

Сертификат может подтверждать наличие прав управления доменным именем и существование организации, у которой есть эти права, то есть удостоверять домен и его владельца. Такие сертификаты относятся к категории . Просмотрев сертификат OV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, а также определить, кому принадлежит этот сайт. Для выпуска данного сертификата его заказчик должен документально подтвердить свои идентификационные данные.

Что такое SSL? Secure Sockets Layer, иногда называемые цифровыми сертификатами, используются для установления зашифрованного и защищенного соединения между интернет-браузером или компьютером пользователя, сервером или веб-сайтом и служат основой интернет-безопасности в мировой паутине. SSL-соединение защищает конфиденциальные данные, такие как данные кредитной карты, обмениваемые во время каждого посещения, который называется сеансом, от перехвата неавторизованных сторон и пользователей с неблагожелательными и хакерскими намерениями.

Что такое SSL и сертификат?

SSL — глобальная стандартная технология безопасности, обеспечивающая зашифрованную связь между веб-браузером и сервером. Большое количество пользователей онлайн-бизнеса и частных лиц используют SSL для снижения риска получения конфиденциальной информации (номера кредитных карт, имен пользователей, паролей, электронных писем) и защиты от похищения или вмешательства со стороны хакеров и похитителей личных данных.

Для создания безопасного соединения на веб-сервере устанавливается SSL-сертификат (также называемый цифровым сертификатом) и выполняет следующие базовые функции:

• аутентифицирует адрес веб-сайта (это гарантирует посетителям, что они не находятся на фиктивном сайте);
• шифрует передаваемые данные.

Недоверенный сертификат формирует ошибку при обращении к сайту «SSL Error».

Типы сертификатов

Существует большое количество различных типов сертификации SSL, основанных на количестве доменных имен или поддоменов, таких как:

• Single — обеспечивает одно полное доменное имя или имя поддомена.
• Подстановочный знак - охватывает одно доменное имя и неограниченное количество его поддоменов.
• Multi-Domain — защищает несколько доменных имен.

И необходимый уровень валидации, например:

Проверка домена — этот уровень является наименее дорогим и охватывает базовое шифрование и проверку права собственности на регистрацию доменного имени. Этот тип сертификата обычно занимает от пары минут до нескольких часов.

Проверка организации — в дополнение к базовому шифрованию и проверке прав собственности на регистрацию доменного имени, определенные данные владельца (например, имя и адрес) аутентифицируются. Этот тип сертификата занимает от одного часа до нескольких дней.

Расширенная проверка — обеспечивает максимальную степень безопасности из-за тщательного изучения, которое проводится до выдачи этого сертификата (и строго указано в руководящих принципах, установленных управляющим консорциумом индустрии сертификации). Помимо владения регистрацией имени домена и аутентификации объекта, проверяется юридическое, физическое и оперативное существование объекта. Этот тип сертификата занимает от одного дня до нескольких недель.

Кому может понадобиться сертификат SSL?

Любое лицо или организация, которые используют свой сайт для запроса, получения, обработки, сбора, хранения или отображения конфиденциальной информации нуждаются в защите данных. Вот некоторые примеры этой информации:

• логины и пароли;
• финансовая информация (номера кредитных карт, банковские счета);
• личные данные (имена, адреса, номера социального страхования, даты рождения);
• конфиденциальная информация;
• юридические документы и контракты;
• списки клиентов;
• медицинские записи.

Где можно получить сертификаты SSL?

Сертификаты выдаются органами сертификации организациям, которым доверяют проверку подлинности и легитимности любого объекта, запрашивающего сертификат.

Роль органа сертификации заключается в том, чтобы принимать сертификационные приложения, проверять их подлинность, выдавать сертификаты и сохранять информацию о состоянии выданных документов.

Также можно приобрести цифровые сертификаты у регистратора доменных имен или поставщика веб-сайтов.

При выборе поставщика очень важно учитывать ту информацию, что веб-браузеры пользователей хранят кешированный список доверенных центров сертификации в файле, поэтому если цифровой сертификат подписывается документом, которая не находится в «одобренном» списке, браузер отправит предупреждающее сообщение пользователю о том, что веб-сайт не заслуживает доверия и выдаст ошибку «Err SSL».

Как узнать, имеет ли сайт сертификат SSL? Есть четыре визуальных подсказки:

• значок замка слева от URL-адреса;
• префикс URL https вместо http;
• гербовая печать;
• зеленая адресная строка (когда выдается сертификат LK SSL).

Спецификация

SSL-сертификаты, как файлы данных в цифровом формате, связывают криптографический ключ с данными организации, такими как:

• имя домена, сервера или хоста;
• организационная принадлежность и местоположение.

Организации необходимо инсталлировать SSL-сертификат на веб-сервер, чтобы установить безопасный сеанс с браузерами, после чего весь передаваемый трафик будет безопасным.

Когда сертификат успешно установлен, протокол приложения изменится на HTTPS, где «S» означает «безопасный». В зависимости от типа сертификата, браузер будет показывать значок замка или зеленую полосу при посещении сайта, содержащего сертификат SSL.

Как работает SSL-сертификат?

Что такое SSL и за что отвечает эта технология? Сертификаты используют криптографию с открытым ключом, которая использует защиту из двух ключей, которые являются длинными строками произвольно сгенерированных чисел. Один из них именуется закрытым ключом, а второй — открытым, который известен серверу и доступен. Его можно использовать для шифрования любого сообщения. Если Пользователь №1 отправит сообщение Пользователю №2, он заблокирует его с помощью открытого ключа, но единственный способ дешифрования — разблокировка с помощью частного ключа Пользователя №2. Если хакер перехватывает сообщение до получения адресатом, он видит только криптографический код, который невозможно взломать.

Зачем нужен сертификат SSL?

SSL-сертификаты защищают конфиденциальную информацию (данные о кредитной карте, имена пользователей и пароли). Также выполняют следующий функционал:

• Обеспечивает безопасность контента между серверами.
• Увеличивает рейтинг в поисковой системе Google.
• Повышает доверие клиентов.
• Улучшает коэффициент конверсии.

Сертификаты SSL должны быть выданы из доверенного центра сертификации. Браузеры, ОС и мобильные гаджеты поддерживают список доверенных корневых сертификатов, которые должны присутствовать на машине конечного пользователя. Если сертификат не является доверенным, браузер будет предоставлять недоверенные сообщения об ошибках SSL конечному пользователю. В случае e-commerse такие сообщения о сбоях приводят к немедленному недоверию к веб-сайту, а организация рискуют потерять бизнес и доверие у большинства потребителей.

Центры сертификации

Компания GlobalSign известна как доверенный центр сертификации. Это обусловлено тем, что поставщики браузеров и операционные системы доверяют GlobalSign как законному центру сертификации, выдающему надежные SSL-сертификаты.
GlobalSign была основана в 1996 г. в Европе и остается одним из самых авторитетных центров сертификации в мире.

Цели использования сертификатов

Что такое SSL и каковы причины их применения? SSL является основой безопасного Интернета и защищает конфиденциальную информацию. MTS SSL обеспечивает конфиденциальность, критическую безопасность и целостность данных как для веб-сайтов, так и для личной информации пользователей.

Основная причина применения сертификации SSL состоит в том, чтобы хранить конфиденциальные данные, отправленные через сеть, в зашифрованном виде, чтобы прочесть ее мог исключительно получатель без доступа третьих лиц. Это важно, потому что информация, которую вы отправляете в Интернете, передается с компьютера на компьютер, чтобы добраться до целевого сервера. Любой компьютер, находящийся между вами и сервером, может видеть ваши номера кредитных и дебетовых карт, имена пользователей и пароли и другую конфиденциальную информацию, если он не зашифрован сертификатом. Когда используется SSL-protocol, информация становится абсолютно нечитаемой для всех пользователей, за исключением серверной части, на которую отправляется информация.

SSL обеспечивает аутентификацию

В дополнение к шифрованию сертификат SSL также обеспечивает аутентификацию. Это означает, что вы можете быть уверены, что отправляете информацию на нужный сервер. Почему это важно? Характер Интернета означает, что клиенты часто будут отправлять информацию через несколько компьютеров. Любой из этих ПК может фальсифицировать ваш веб-сайт. Этого можно избежать только с помощью надлежащей инфраструктуры открытого ключа и получения сертификата от надежного поставщика.

Почему провайдеры SSL важны?

Доверенные поставщики GWS RD SSL будут выдавать сертификат только проверенной компании, прошедшей несколько этапов проверок. Некоторые типы сертификатов, например EV SSL Certificates, требуют большей проверки, чем другие. Производители веб-браузеров проверяют, что поставщики RD SSL следуют определенным практикам и были проверены сторонним разработчиком, используя такой стандарт, как WebTrust.

SSL обеспечивает доверие

Веб-браузеры формируют визуальные сигналы, такие как значок блокировки или зеленая полоска, чтобы посетители знали, когда их соединение защищено.

HTTPS также защищает от фишинговых атак. Фишинг-адрес электронной почты отправляется преступником, который выдает свой ресурс за ваш сайт. Обычно письмо содержит ссылку на свой собственный сайт и использует атаку «человек в середине» для использования собственного доменного имени.

SSL требуется для соответствия требованиям PCI

Чтобы принять информацию о кредитной карте на своем веб-сайте, вы должны пройти определенные проверки, которые показывают, что вы соблюдаете стандарты индустрии платежных карт (PCI). Одно из требований - правильно использовать SSL-сертификат.

Недостатки

Есть ли недостатки в использовании сертификатов SSL? Стоимость — очевидный недостаток. Поставщикам необходимо построить надежную инфраструктуру и подтвердить свои данные. Высокая стоимость решения была снижена благодаря усилению конкуренции в отрасли и появлению таких поставщиков, как Let"s Encrypt.

Производительность — еще один недостаток SSL. Поскольку информация, которую вы отправляете, должна быть зашифрована сервером, требуется больше ресурсов на ее обработку. Разница в производительности заметна только для веб-сайтов с очень большим количеством посетителей и может быть сведена к минимуму с помощью специального оборудования.

В целом недостатки использования SSL немногочисленны, и преимущества намного перевешивают их. Правильное использование SSL-сертификатов поможет защитить клиентов и повысить доверие к ресурсу.