Можно ли иметь SSL-сертификат для IP-адреса, а не для доменного имени?

На что еще обратить внимание при выборе сертификата

При выборе сертификата следует обратить внимание не только на тип сертификата и его дополнительные опции, а также на Удостоверяющий центр, которые выпускает SSL-сертификаты . Лучше отдавать предпочтение тем сертификационным центрам, которые существуют долгое время на рынке. Так вы обезопасите себя от того, что ваш сертификат может быть скомпрометирован или аннулирован в процессе работы.

Кроме того, у каждого Удостоверяющего центра могут быть разные условия проверок компаний и выпуска сертификата: список публичных справочников для проверки, разные сроки выпуска и требовательность к данным об организации в публичном пространстве.

Если сомневаетесь в правильности своего выбора, обращайтесь за помощью в отдел продаж. Мы подберем вариант с учетом сложности вашего проекта, объёма инфраструктуры и ваших задач.

Как выбрать сертификат для своего сайта. Часть 1

Что такое sni?

Индикация имени сервера (SNI или Server Name Indication) – это расширение TLS протокола, которое указывает к какому хосту пытается подключиться клиент в начале процесса квитирования (установки соединения). Соответственно это позволяет серверу с самого начала определить корректное имя виртуального хоста для запроса и установки защищенного соединения.

Как узнать что web-cайт имеет ssl сертификат?

Главный признак того, что посещаемый Вами сайт имеет SSL сертификат и используется проверенное защищенное соединение, вы найдете в строке адреса в браузере:

Что такое ssl?

Secure Sockets Layer (SSL) – это протокол безопасности, который создает зашифрованную связь между веб-сервером и веб-браузером. Это гарантирует, что все переданные данные останутся конфиденциальными.

Вы видели значок замка рядом с URL-адресом в адресной строке, когда вы переходите на определенные сайты, верно? Это означает, что сайт защищен SSL.

На вашем сайте должен быть SSL, особенно если вы используете свой сайт для обработки финансовых транзакций. Это защитит вас от утечки данных и даст посетителям веские основания доверять вам конфиденциальную информацию. Это также улучшает ваш рейтинг в результатах поиска.

Но сертификаты SSL могут быть дорогими, если вы не знаете, где искать и что покупаете.

Что такое ssl-сертификат?

Многие наверняка слышали про

, но не все чётко представляют, что это такое и для чего они нужны. По сути, SSL-сертификат — цифровая подпись вашего сайта, подтверждающая его подлинность. Использование сертификата позволяет защитить как владельца сайта, так и его клиентов. SSL-сертификат даёт возможность владельцу применить к своему сайту технологию SSL-шифрования.

Защита exchange и почтового сервера

Если требуется защитить почтовый или Exchange сервер (ПО для совместной работы пользователей, отправки писем и сообщений), можно рассмотреть выпуск сертификата с поддержкой SAN-доменов в категориях Multi-Domain и Multi-Domain Wildcard, который позволит установить защищенный канал для обмена данными.

При заказе и выпуске сертификата вам потребуется сгенерировать CSR-код на сервере, который требуется защитить.

Если защитить необходимо только 1 почтовый сервер можно воспользоваться альтернативным и более экономным вариантом — выпустить сертификат категории DV. Генерация CSR-кода для выпуска сертификата также необходима на самом сервере.

Алгоритмы шифрования

Для симметричного шифрования использовались разные алгоритмы. Первым был блочный

DES, разработанный компанией IBM. В США его утвердили в качестве стандарта в 70-х годах. В основе алгоритма лежит

с 16-ю циклами. Длина ключа составляет 56 бит, а блока данных — 64.

Развитием DES является алгоритм 3DES. Он создавался с целью совершенствования короткого ключа в алгоритме-прародителе. Размер ключа и количество циклов шифрования увеличилось в три раза, что снизило скорость работы, но повысило надежность.

Еще был блочный шифр RC2 с переменной длиной ключа, который работал быстрее DES, а его 128-битный ключ был сопоставим с 3DES по надежности. Потоковый шифр RC4 был намного быстрее блочных и строился на основе генератора псевдослучайных битов. Но сегодня все эти алгоритмы считаются небезопасными или устаревшими.

Самым современным признан стандарт AES, который официально заменил DES в 2002 году. Он основан на блочном алгоритме Rijndael и скорость его работы в 6 раз выше по сравнению с 3DES. Размер блока здесь равен 128 битам, а размер ключа — 128/192/256 битам, а количество раундов шифрования зависит от размера ключа и может составлять 10/12/14 соответственно.

Что касается асимметричного шифрования, то оно чаще всего строится на базе таких алгоритмов, как RSA, DSA или ECC. RSA (назван в честь авторов Rivest, Shamir и Adleman) используется и для шифрования, и для цифровой подписи. Алгоритм основан на сложности факторизации больших чисел и поддерживает все типы SSL-сертификатов.

DSA (Digital Signature Algorithm) используется только для создания цифровой подписи и основан на вычислительной сложности взятия логарифмов в конечных полях. По безопасности и производительности полностью сопоставим с RSA.

ECC (Elliptic Curve Cryptography) определяет пару ключей с помощью точек на кривой и используется только для цифровой подписи. Основным преимуществом алгоритма является более высокий уровень надежности при меньшей длине ключа (256-битный ECC-ключ сопоставим по надежности с 3072-битным RSA-ключом.

Более короткий ключ также влияет на время обработки данных, которое заметно сокращается. Этот факт и то, что алгоритм эффективно обрабатывает большое количество подключений, сделали его удобным инструментом для работы с мобильной связью. В SSL-сертификатах можно использовать сразу несколько методов шифрования для большей защиты.

Безопасность данных

Конечно же, стоит начать с этого пункта, ведь в этом заключается основная цель использования SSL-сертификатов. Если вы работаете с персональными данными пользователей, вам просто необходимо их шифровать при передаче к серверу. Само по себе использование сертификата не лекарство от всех бед, злоумышленники могут перехватить данные ещё до момента передачи их на сервер на заражённом компьютере или устройстве посетителя сайта. Однако использование протокола шифрования — значительный вклад в снижение уязвимости сайта.

Браузеры пк:

• Internet Explorer 7 либо более поздние версии
• Firefox 2
• Opera 8 c TLS 1.1
• Google Chrome:
• Поддерживается на Windows XP, на Chrome 6 и более поздних версиях
• Поддерживается на Vista и поздних версиях по умолчанию
• OS X 10.5.7 в Chrome версии 5.0.342.0 и выше
• Safari 2.1 и поздние версии (требует OS X 10.5.6 и выше или Windows Vista и выше).

Примечание:

Ни одна из версий Internet Explorer под Windows XP не поддерживает SNI

Включаем ssl в nginx

В шаблоне LAMP настраивать SSL нужно на реверс-прокси NGINX.

Если ранее при генерации CSR вы установили пароль, расшифруйте приватный ключ командой:openssl rsa -in /etc/ssl/ssl.key -out /etc/ssl/private.key

Объедините корневой и промежуточный сертификаты командой:

cat /etc/ssl/sub.class1.server.ca.pem >> /etc/ssl/cau.pem

Добавьте к объединению ваш сертификат

cat /etc/ssl/ssl.crt /etc/ssl/cau.pem >> /etc/ssl/group.crt

Откройте результат в nano:

nano /etc/ssl/group.crt

Сохраните изменения (Ctrl X, Y, Enter).

Перенесите начало каждого нового сертификата на новую строчку после окончания предыдущего сертификата и сохраните изменения.

Теперь установите права для доступа к private.key:

chmod 600 /etc/ssl/private.key

Отредактируйте файл конфигурации nginx:

nano /etc/nginx/sites-enabled/default

Где купить ssl-сертификат?

Приобретают сертификаты обычно не напрямую у удостоверяющего центра, а через партнёров. В России продажей сертификатов известных удостоверяющих центров (УЦ), таких как Comodo, Geotrust, GoDaddy, GlobalSign, Symantec и прочих, занимается множество компаний.

Два слова о протоколе ssl

Протокол SSL (Secure Socket Layer) был разработан в 1996 году в компании Netscape и очень скоро стал наиболее популярным методом обеспечения защищенного обмена данными через Интернет. Именно он интегрирован в большинство браузеров (посмотрите на пометку вначале адреса в браузере) и веб серверов и использует асимметричную криптосистему с открытым ключом.

Доверие к сайту

Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.

Заказ бесплатного ssl–сертификата

Откройте

бесплатного сертификата SSL. Заполните информацию о вас (данные должны быть реальными, это очень важно).

На следующем шаге от вас потребуется код подтверждения, отправленный на указанную электронную почту.

Введите код и нажмите «Continue»

После этого необходимо дождаться подтверждания регистрации от StartCom (может занимать до 6 часов, но обычно ссылка для доступа и код подтверждения приходит гораздо быстрее). После получения письма введите код из него по ссылке, указанной в письме. Далее выберите длинну сертификата (лучше выбирать максимальную).

После этого будет сгенерирован сертификат для доступа к сертифицирующему центру StartCom. Сохраните его в безопасном месте и установите в систему, выполнив по нему двойной клик мышью и нажав «Install».

Теперь у вас есть доступ к сертифицирующему центру. На следующем шаге введите имя домена, для которого хотите получить сертификат.

Для подтверждения домена необходимо создать на нем один из трех адресов:

• postmaster@domain
• hostmaster@domain
• webmaster@domain

Если у вас еще не подключена почта для домена, можно привязать домен к бесплатной

или воспользоваться

После создания почтового ящика на домене выберите его у StartCom и подтвердите принадлежность домена вам.

После подтверждения владения доменом вы можете сгенерировать секретный ключ, как показано на скриншоте ниже:

Рекомендуется пропустить этот шаг и сгенерировать CSR на вашем облачном VPS. Так секретный ключ не окажется у StartCom.Для генерации CSR подключитесь к виртуальному серверу по SSH(подробнее в следующем разделе) и выполните команду:

openssl req -new -newkey rsa:4096 -nodes -keyout /etc/ssl/private.key -out /etc/ssl/domain.csr

Заказ выделенного ip-адреса

В случае настройки SSL на сервере виртуального хостинга возможно использование выделенного IP-адреса. Заказ IP-адреса производится в панели управления аккаунтом, разделе «IP-адреса».

Для подключения выделенного IP-адреса его необходимо внести в поле «А-запись» домена (в разделе «Мои домены» панели управления, вкладка  «DNS)».

Также на хостинге реализована возможность использования SSL-сертификата без заказа выделенного IP-адреса. В этом случае в панели управления при установке сертификата в разделе «SSL/Установить» необходимо выбрать из выпадающего списка вариант “Без IP”.

Кроме того есть возможность установить бесплатный сертификат Let’s Encrypt. В этом случае в панели управления при установке сертификата в разделе «SSL/Установить» необходимо выбрать вкладку «Let’s Encrypt».

Также имеется возможность установить сертификат Let’s Encrypt Wildcard для домена, при этом все поддомены этого домена, которые были добавлены из панели управления аккаунтом будут защищены данным сертификатом. Также стоит заметить, что из-за технической особенности, Let’s Encrypt Wildcard выпускается дольше, чем обычный Let’s Encrypt сертификат.

Заказ сертификата

Приобрести сертификат через нашу компанию можно в панели управления. Описание процедуры покупки есть в инструкции «Заказ SSL-сертификата». Если сертификат покупается через стороннюю компанию, то ключ и запрос на получение сертификата (CSR) можно сгенерировать, используя наш онлайн генератор. 

Зачем нужен ssl-сертификат для сайта

Чтобы сайт стал работать по протоколу безопасного соединения HТТPS, нужен SSL-сертификат. Это виртуальный документ, который содержит данные об организации, её владельце и подтверждает их существование. Позволяет узнать сервер и подтвердить безопасность сайта.

Использование сертификата безопасности для сайта гарантирует:

Что дает SSL-сертификат для сайта кроме защиты данных? SSL-сертификат помогает в SEO-продвижении проекта — позволяет занять более высокую позицию в поисковой выдаче. Поисковые системы (Google, Яндекс и пр.) дорожат доверием аудитории и выше ранжируют сайты, которые работают через безопасное соединение.

Защита ip-адреса

SSL-сертификат может защищать, как доменное имя, так и ip-адрес . Для выпуска такого сертификата существует ряд условий:

1. Возможен выпуск только OV SSL-сертификатов .

2. IP-адрес должен принадлежать компании (проверка осуществляется по WHOIS IP-адреса ).

3. При заполнении заявки на сертификат вместо доменного имени необходимо указать свой ip-адрес .

Выпуск DV SSL-сертификатов (с проверкой по домену) для IP-адресов доверенными удостоверяющими центрами не производится, поскольку в данном случае создаются угрозы безопасности ( IP-адрес может быть неуникальным).

За выпуском таких сертификатов для защиты IP-адреса обращаются довольно редко, поэтому список их ограничен и не все компании могут оказать услугу по выпуску такого сертификата. Нашим клиентам для защиты IP-адреса мы предлагаем сертификат Comodo Instant SSL. Для защиты нескольких IP-адресов потребуется выпуск соответствующего количества сертификатов.

Защита для бизнеса и клиентов

Каким же сайтам нужна защита SSL? Да практически всем. Особенно тем, которые в наибольшей степени подвержены атакам: ресурсам финансовых учреждений, крупных брендов, сайтам, работающим с персональными данными и платёжной информацией.

Импорт корневого сертификата в firefox 6(linux)

В FireFox 6 это делается черех меню

Preferences

->

Encryption

->

View Certificates

, выбираем вкладку

Authorities

Далее нажимаем

Import

и открываем файл нашего корневого сертификата

ca.crt

, на вопрос об использовании, ставим галочку на идентификацию WEB-серверов.

И мы можем лицезреть наш сертификат в списке доверенных центров

Импорт корневого сертификата в ie8 (windows 7 64bit)

В меню Пуск в строке поиска наберите certmgr и нажмите комбинацию клавиш Ctrl Shift Enter, ответьте утвердительно на запрос прав администратора. У Вас запустится менеджер сертификатов.

Дважды кликните на разделе Trusted Root Certification Authorities

Кликните правой кнопкой мыши на Certificates -> All Tasks -> Import…

Запустится мастер импорта сертификатов, следуйте его инструкциям и в качестве сертификата укажите ca.crt. Если в результате получите ошибку

То поправьте ключ в реестре

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftSystemCertificatesRootProtectedRootsFlags

установите его в

0

и перезапустите менеджер сертификатов.

Мы рассмотрели некоторые возможности SSL сертификатов позволяющие идентифицировать систему имеющую несколько IP адресов и/или Доменных имен, а так же рассмотрели простейший сценарий применения сертификатов во встраиваемых системах. Можно ли улучшить этот сценарий?

Конечно можно. Например можно сделать так чтобы корневой сертификат генерировался прямо на устройстве и отдавался пользователю по запросу, например на USB Stick. В этом случае кража корневого сертификата не повлечет за собой опастность для подобных устройств у других покупателей.

Часть информации относящуюся к сертификатам пользователей можно использовать и при покупке сертификатов подписываемых доверенными центрами сертификации. В этом случае обеспечивается наивысший уровень безопастности который может обеспечить технология SSL.

Как работает защищенное ssl соединение?

Необходимо, чтобы сервер имел инсталлированный цифровой сертификат. Сам цифровой сертификат – это файл, который уникальным образом идентифицирует пользователей и серверы. Это своего рода электронный паспорт, который проводит аутентификацию сервера до того, как устанавливается сеанс SSL соединения.

Как узнать, поддерживает ли ваш apache sni?

Если настроить несколько имен на основе виртуальных хостов для адреса, где настроен SSL, и SNI не встроено в Apache, то после запуска Apache Вы получите в журнале ошибок сообщение:

«You should not use name-based virtual hosts in conjunction with SSL!!»(«Вы не должны использовать виртуальные хосты, основанные на имени, в сочетании с SSL!!»).

Если расширение SNI встроено, то журнал ошибок покажет:

«[warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)» («[предупреждение] Виртуальные хосты, основанные на имени, с SSL работают только для клиентов с поддержкой TLS SNI (RFC 4366)».

Какие документы необходимо предоставить

Для того, чтобы центр сертификации GlobalSign смог провести процесс верификации, вам необходимо предоставить следующие документы:

1. Заполненное заявление (форма заявления будет выслана вам на почту после заказа SSL-сертификата), содержащее:

2. Регистрационный сертификат вашей предпринимательской деятельности (документ, выданный Федеральной Налоговой Службой);

3. Копия вашего удостоверения личности с фотографией. Подойдут: паспорт, водительские права, лицензия на оружие или др. Условие: любой документ с полным ФИО и фотографией;

4. Доказательство существования вашей предпринимательской деятельности. Нужно предоставить 2 разных документа (первый из пункта 1, второй из пункта 2):

Впоследствии GlobalSign проверит легитимность деятельности нотариуса. Она может быть подтверждена исключительно возможностью найти его в открытых информационных источниках (например, список нотариусов г. Москвы и т.п.). GlobalSign самостоятельно свяжется с вашим нотариусом для подтверждения аутентичности документа.

Каким образом sni устраняет проблему?

Расширение SNI решает данную проблему путем отправления имени виртуального домена в рамках TLS переговоров. Это позволяет серверу заранее выбрать правильный виртуальный домен и представить браузеру сертификат, содержащий корректное имя. Поэтому с клиентами и серверами, которые поддерживают SNI, один IP адрес может быть использован для обслуживания группы доменных имен, для которых нецелесообразно получить общий SSL сертификат.

Кому подходит

Организациям, ведущим деятельность в разных городах в нескольких направлениях. А также для больших проектов с развернутой информацией по товарам и услугам. К примеру, ваша компания продает мебель и вы предлагаете на выбор несколько категорий товара. Плюс ваш дополнительный проект на отдельном домене — сайт по продаже матрасов. Покупая один сертификат, вы сможете защитить сразу оба домена и все поддомены первого:

Копируем файлы на сервер

Создайте сервер из шаблона Ubuntu 14.04 lamp в

. Процесс создания сервера был

ранее.

Необходимо скопировать

ca.pem, sub.class1.server.ca.pem и ssl.crt

в папку

/etc/ssl

(если ее нет — создать).

Это можно сделать например через Filezilla (установка клиента рассмотрена также в статье). Однако способ подключения будет отличаться, так как нужен доступ не только к папке сайта, но и ко всему серверу.

Лучшие эмитенты бесплатных и недорогих сертификатов ssl

Если вам требуется более низкий уровень шифрования, следующие эмитенты выполнят свою работу:

Если у вас есть контент, размещенный на CMS HubSpot, вы можете защитить свой контент и данные лидов с помощью стандартного SSL. Это дает вашим посетителям спокойствие, а также увеличивает видимость в результатах поиска.

Мобильные браузеры:

• Мобильная версия Safari для iOS 4.0
• Android 3.0 (Honeycomb) и более поздние версии
• Windows Phone 7

Если Apache поддерживает SNI, в случае получения запроса по протоколу SSL без имени хоста SNI для виртуального хоста, основанного на имени, и SSLStrictSNIVHostCheck включен, он будет отклонен (403), и появится следующее сообщение:

No hostname was provided via SNI for a name based virtual host (т.е. имени хоста для данного SNI не было найдено)

Если SSLStrictSNIVHostCheck выключен, то запрос будет обрабатываться, как если бы сервер не имел поддержки SNI.

Можно ли иметь ssl-сертификат для ip-адреса, а не для доменного имени?

Мультидоменный сертификат с поддержкой субдоменов multi-domain wildcard

Бывают ситуации, что требуется защитить не только разные домены, но и все их поддомены. В таком случае оптимальным вариантом будет выбор сертификата с опцией «два в одном» — Multi-Domain Wildcard.

Данный сертификат включает по умолчанию два домена: первый — базовый, второй — Wildcard. Таким образом, вы сможете защитить одним сертификатом несколько доменов, а также один домен с неограниченным количеством поддоменов. Дополнительные домены, также, как и в случае с обычным Multi-domain , можно добавить за отдельную плату до 100 шт.

Мультидоменный сертификат — multi-domain

Если хотите защитить несколько доменов одним сертификатом, имеет смысл остановить свой выбор на такой опции как Multi-Domain .

В стоимость мультидоменного сертификата включено несколько доменов — от одного до пяти, в зависимости от выбранного сертификата. Дополнительные домены (SAN) можно добавить за отдельную плату до 100 шт.Защита одного домена с www. и без www. считается как отдельное доменное имя.

SAN (Subject Alternative Name) — опция для защиты несколько доменных имен на одном IP-адресе в рамках сертификата. Домены вносятся при заполнении данных сертификата и генерируются в файл CSR.

Таким образом, вы заполняете данные сертификата только один раз и выпускаете 1 сертификат на все ваши домены.

Немого общей имформации об ssl

Технология SSL позволяет шифровать трафик между двумя устройствами. Вы, наверное знаете, что SSL сертификаты выдаются web-сайтам и приязываются на домены или поддомены. Сертификаты выдаются доверенными центрами сертификации (

Certification Authority

) и подписываются электронными подписями. Сертификаты подтверждаются в браузерах путем проверки цепочки сертификатов (

Certification Path

), корневые сертификаты этих центров уже распространяются вместе с дистрибутивами основных браузеров и такая проверка происходит незаметно для пользователя. В случае, если доверенный корневой сертификат не найден браузером, пользователю выдается страничка с предупреждением о том, что соединение с сервером не является безопасным.

Проблема

встраиваемых систем

в том, что,

• во-первых, это не web-сайт в общем понимании этого слова (вспомните, например, веб-интерфейс Wi-Fi роутера), в момент выпуска изделия он не имеет окончательного IP адреса, и еще менее вероятно чтобы он имел какой то домен.
• во-вторых, конечный пользователь может сменить и IP, и домен, если таковой был, хотя бы в целях все той же безопастности.
• в-третьих, покупать сертификат довольно дорого, а вопрос снижения себестоимости стоит всегда.

Как же решать эти проблемы?

Нужен ли выделенный ip адрес для установки ssl сертификата?

Переезд сайта

И завершающий этап – сообщить роботам, что вы переехали. Для Google будет достаточно правильно настроенного редиректа, а в Яндексе есть специальный раздел в Вебмастере: Настройка индексирования – Переезд сайта:

Поддержка национальных доменов — idn

Если ваш домен находится в зоне.рф или другой, принадлежащей к национальным доменным зонам, вам подойдет сертификат с поддержкой IDN (Internationalized Domain Names). Выбор сертификатов с данной опцией разнообразен. Можно выпустить сертификат с любым типом проверки OV, DV и EV.

Подтверждение бесплатного ssl-сертификата через dns

На этапе выбора подтверждения кликаем на «DNS», где получаем нужные данные для ввода.

На следующем шаге видим, что система мониторит записи для подтверждения.

Переходим к хостинг-провайдеру (или другой интерфейс, куда через NS был делегирован домен) и переходим к редактированию DNS.

Добавляем новую TXT-запись.

Вводим выданные нам значения.

Получение бесплатного ssl-сертификата через хостинг-провайдера

Если хостинг-провайдер предоставляет бесплатный SSL-сертификат, то можно
воспользоваться им. Так его предоставляют:

Например, в случае с Timeweb достаточно посетить
административную панель после чего перейти во вкладку «SSL-сертификаты» и нажимаем на
«Заказать».

Теперь выбираем «Let’s Encrypt»
(бесплатный) и домен, которому он будет применен.

Важно! Для того, чтобы воспользоваться данным методом
необходимо делегировать сайт под управление компании хостинга при помощи А-записи.

Принудительно высокий уровень шифрования sgc

Сертификат с данной степенью защиты будет необходим, только если посетители сайта до сих пор использует версию SGC-браузера , вышедшую до 2000-го года. Это связано с тем, что в старых версиях браузеров используется 40-битное шифрование, а современные браузеры поддерживают шифрование данных 128/256 бит.

Разновидности ssl-сертификатов

По уровню проверки выделяют три типа SSL-сертификатов:

Сертификаты начального уровня с проверкой домена Domain Validation (DV)

При выпуске этого типа SSL проверяется только право собственности на домен. Физическим лицам доступен только этот тип. Юридические лица также могут его выпустить. После подключения защищенного соединения к сайту в адресной строке браузера появится характерный «замочек», что означает безопасную передачу данных.

Сертификаты бизнес-класса с проверкой организации Organization Validation (OV) или Company Validation (CV)

При выпуске такого SSL кроме проверки права собственности на домен проводится проверка организации: её юридическое и физическое существование. Этот вид доступен только юридическим лицам. При нажатии на замочек в адресной строке будет отображаться информация о компании.

Сертификаты с расширенной проверкой Extended Validation (EV)

Этот протокол SSL также доступен только юридическим лицам. Чтобы его выпустить, нужно предоставить документы в центр сертификации. Проводится проверка не только существования организации, но и её правовой деятельности. Помимо замочка в адресной строке будет отображаться печать доверия сертификационного центра и информация о компании.

Подробнее о видах читайте в статье Типы SSL-сертификатов.

Рукопожатие

Когда пользователь заходит на веб-сайт, браузер запрашивает информацию о сертификате у сервера, который высылает копию SSL-сертификата с открытым ключом. Далее, браузер проверяет сертификат, название которого должно совпадать с именем веб-сайта.

Кроме того, проверяется дата действия сертификата и наличие корневого сертификата, выданного надежным центром сертификации. Если браузер доверяет сертификату, то он генерирует предварительный секрет (pre-master secret) сессии на основе открытого ключа, используя максимально высокий уровень шифрования, который поддерживают обе стороны.

Сервер расшифровывает предварительный секрет с помощью своего закрытого ключа, соглашается продолжить коммуникацию и создать общий секрет (master secret), используя определенный вид шифрования. Теперь обе стороны используют симметричный ключ, который действителен только для данной сессии. После ее завершения ключ уничтожается, а при следующем посещении сайта процесс рукопожатия запускается сначала.

Сертификаты бывают разные

Теперь, когда мы разобрались, что представляет собой протокол SSL/TLS и как происходит соединений на его основе, можно поговорить и о

сертификатов.

Domain Validation, или сертификаты с проверкой домена, подходят для некоммерческих сайтов, так как они подтверждают только веб-сервер, обслуживающий определенный сайт, на который был осуществлен переход. Этот вид сертификата самый дешевый и популярный, но не может считаться полностью безопасным, так как содержит только информацию о зарегистрированном доменном имени.

Organization Validation, или сертификаты с проверкой организации, являются более надежными, так как подтверждают еще регистрационные данные компании-владельца. Эту информацию юридическое лицо обязано предоставить при покупке сертификата, а удостоверяющий центр может связаться напрямую с компанией для подтверждения этой информации.

Extended Validation, или сертификат с расширенной проверкой, считается самым надежным. Собственно, зеленый замочек или ярлык в браузере означает как раз то, что у сайта есть именно такой сертификат. О том, как разные браузеры информируют пользователей о наличии сертификата или возникающих ошибках можно почитать тут.

Он нужен веб-сайтам, которые проводят финансовые транзакции и требуют высокий уровень конфиденциальности. Однако многие сайты предпочитают перенаправлять пользователей для совершения платежей на внешние ресурсы, подтвержденные сертификатами с расширенной проверкой, при этом используя сертификаты OV, которых вполне хватает для защиты остальных данных пользователей.

Кроме того, сертификаты могут различаться в зависимости от количества доменов, на которые они были выданы. Однодоменные сертификаты (Single Certificate) привязываются к одному домену, который указывается при покупке. Мультидоменные сертификаты (типа Subject Alternative Name, Unified Communications Certificate, Multi Domain Certificate) будут действовать уже для большего числа доменных имен и серверов, которые также определяются при заказе. Однако за включение дополнительных доменов, свыше определенной нормы, потребуется платить отдельно.

Еще существуют поддоменные сертификаты (типа WildCard), которые охватывают все поддомены указанного при регистрации доменного имени. Иногда могут потребоваться сертификаты, которые будут одновременно включать не только несколько доменов, но и поддомены.

В таких случаях можно приобрести сертификаты типа Comodo PositiveSSL Multi-Domain Wildcard и Comodo Multi-Domain Wildcard SSL или (лайфхак) обычный мультидоменный сертификат, где в списке доменов указать также и нужные поддоменные имена.

Получить SSL-сертификат можно и самостоятельно: пара ключей для этого генерируется через любой генератор, например, бесплатный OpenSSL. И такой защищенный канал связи вполне получится использовать для внутренних целей: между устройствами своей сети или приложениями.

Но вот для использования на веб-сайте сертификат необходимо приобретать официально, чтобы в цепочке подтверждения сертификатов обязательно имелся корневой сертификат, браузеры не показывали сообщений о небезопасном соединении, а пользователи были спокойны за свои данные.

P.S. Дополнительно по теме из блога IaaS-провайдера 1cloud:

Сертификаты для устройств

Теперь нам нужно создать сертификат конечного пользователя или сервера и подписать его корневым сертификатом, что мы создали в предыдущем разделе. Основная проблема для меня была в том, что мое устройство имеет несколько сетевых интерфейсов, которые подключаются в разные сети и, соответственно, имеют разные IP адреса.

Системные требования

• OpenSSL 0.9.8f и выше с опцией поддержки TLS Extensions (опция Enable-tlsext; OpenSSL 0.9.8k и позже имеет это включение по умолчанию).
• Apache, сконфигурированный с этим OpenSSL (./configure –with-SSL = / путь / к / вашей / OpenSSL). В этом случае, mod_ssl автоматически обнаружит наличие расширений TLS и будет поддерживать SNI.
• Установленная библиотека LD_LIBRARY_PATH или эквивалент, чтобы указать на библиотеку OpenSSL, если Apache при запуске не может найти ее (bin / envvars).

Сколько стоит ssl?

Стоимость вашего SSL может варьироваться от бесплатного до сотен долларов, в зависимости от требуемого уровня безопасности. Вот типы SSL, от наименее безопасных до наиболее безопасных (и, как правило, от самой низкой до самой высокой по цене):

• Сертификаты с подтверждением домена (DV) – для сайтов, таких как блоги или веб-сайты малого бизнеса, которые не обмениваются никакой информацией о клиентах.
• Сертификаты, подтвержденные организацией (OV) – для сайтов, таких как бизнес-сайты с формами и возможностями сбора потенциальных клиентов, которые не обмениваются конфиденциальной информацией о клиентах.
• Сертификаты с расширенной проверкой (EV) – высочайший уровень безопасности, позволяющий обрабатывать конфиденциальную информацию, такую ​​как финансовые транзакции.

Сценарий использования ssl во встраиваемых системах

Приведу для примера один из возможных сценариев использования сертификатов во встраиваемых системах. Этот сценарий не требует покупки сертификатов, но имеет ограничения в использовании. Итак,

1. Нам потребуется создать самоподписанный корневой сертификат, в этом случае мы станем сами себе центром сертификации.
2. Далее нам нужно создать сертификат для нашего web-интерфейса и подписать его корневым сертификатом, созданным на первом шаге.
3. Этот сертификат мы помещаем в память  нашей встраиваемой системы где его сможет найти встроенный веб-сервер.
4. Всем пользователям веб-интерфейса мы должны выдать наш корневой сертификат, но не приватный ключ.
5. Пользователи веб-интерфейса должны импортировать наш корневой сертификат в свои веб-браузеры на всех компьютерах с которых предполагается вход на веб-интерфейс.

Особо отмечу

, что этот сценарий

не является безопасным

, подобный способ используют производители роутеров, а умные хакеры извлекают ключи из прошивок и складывают в базу данных

Установка сертификата

Установка сертификата доступна в разделе панели управления — «SSL/Установить».  При установке сертификата в разделе «SSL/Установить» необходимо выбрать из выпадающего списка IP, на который будет установлен сертификат.

Файл сертификата (являющийся подписанным публичным ключом) загружается в первое поле, приватный ключ — во второе. Зачастую сертификат подписан не напрямую, и нужно указать файл с сертификатами промежуточных центров сертификации в последнем поле.

Сертификаты, купленные через нашу компанию, не требуется загружать таким образом. После выпуска сертификата он отобразится в разделе «SSL», и потребуется только привязать его к выделенному IP-адресу, на который направлен домен.

Хеш и mac

Цель хеш-алгоритма —

все содержимое SSL-сертификата в битовую строку фиксированной длины. Для шифрования значения хеша применяется закрытый ключ центра сертификации, который включается в сертификат как подпись.

Хеш-алгоритм также использует величину, необходимую для проверки целостности передаваемых данных — MAC (message authentication code). MAC использует функцию отображения, чтобы представлять данные сообщения как фиксированное значение длины, а затем хеширует сообщение.

В протоколе TLS применяется HMAC (hashed message authentication code), который использует хеш-алгоритм сразу с общим секретным ключом. Здесь ключ прикрепляется к данным, и для подтверждения их подлинности обе стороны должны использовать одинаковые секретные ключи, что обеспечивает большую безопасность.

Все алгоритмы шифрования сегодня поддерживают алгоритм хеширования SHA2, чаще всего именно SHA-256. SHA-512 имеет похожую структуру, но в нем длина слова равна 64 бита (вместо 32), количество раундов в цикле равно 80 (вместо 64), а сообщение разбивается на блоки по 1024 бита (вместо 512 бит). Раньше для тех же целей применялся алгоритм SHA1 и MD5, но сегодня они считаются уязвимыми.

Разговоры об отказе от SHA1 велись достаточно давно, но в конце февраля алгоритм был официально взломан. Исследователям удалось добиться коллизии хешей, то есть одинакового хеша для двух разных файлов, что доказало небезопасность использования алгоритма для цифровых подписей.

Через ispmanager

Следует посетить раздел «WWW»-«SSL-сертификаты»,
после чего кликнуть на «Создать».

Выбираем пункт «Существующий».

Ставим данные из файлов в нужные поля и даем имя
сертификату.

Важно! Если не получается воспользоваться ни первым ни
вторым способом или данного раздела (SSL) нет в административной панели (как, например, в SprintHost), то Вы можете
загрузить сертификаты на свой сервер и создать тикет хостинг-провайдеру для
установки.