Wildcard ev-сертификаты: какие варианты существуют?
EV-сертификат – прекрасный способ защитить веб-сайт от кражи пользовательских данных. Многие интернет-магазины применяют эти сертификаты, чтобы завоевать высокий уровень доверия среди своих клиентов. Ведь такие сертификаты позволяют добиться зеленой полосы в браузере, что однозначно говорит о непревзойденном уровне безопасности. Сегодня многие владельцы веб-сайтов желают приобрести Wildcard EV-сертификат, который позволил бы защитить сразу неограниченное число поддоменов с зеленой строкой в браузере, однако стоит помнить, что таких SSL-сертификатов не существует. Давайте разберемся, почему, и какие есть альтернативные варианты.
EV-сертификаты обеспечивают максимальный уровень доверия среди всех видов SSL-сертификатов. Чтобы предотвратить некорректное использование EV SSL-сертификатов, регулирующий орган в SSL-индустрии, в том числе отвечающий за установление регламента по выпуску SSL-сертификатов (известный как CA/B Forum), требует валидации каждого хоста, связанного с таким сертификатом. Именно по этой причине заказать где-либо Wildcard EV-сертификат невозможно, ведь тип сертификатов «wildcard» по определению подразумевает неограниченное число субдоменов, содержащихся под звездочкой (например, *.domain.com) и не указанных в явном виде.
На практике для защиты поддоменов с помощью EV-сертификата можно поступить следующим образом:
- Приобрести несколько отдельных EV. Данный вариант подойдет в том случае, если поддоменов, которые требуется защитить, у Вас всего пара штук. Тогда можно вполне обойтись отдельными EV-сертификатами для каждого из них. Минус такого варианта заключается в том, что Вам, вероятнее всего (в зависимости от того, где Вы производите заказ), придется каждый раз вводить необходимые данные для всех заказываемых сертификатов. Это не всегда удобно для пользователей. Заказать EV-сертификат вы можете на сайте компании ЛидерТелеком.
- Приобрести мультидоменный EV-сертификат. Такой вариант является более удобным, ведь мультидоменный сертификат распространяется сразу на достаточно большое число доменов (в том числе и на субдомены). Его очень выгодно приобретать в том случае, если доменов/субдоменов, которые требуется защитить сертификатом, у Вас много. А чем больше имен Вы добавляете, тем более выгодным по цене становится мультидоменный сертификат по сравнению с обычным EV-сертификатом. Помимо этого, от пользователя требуется оформление всего лишь одной заявки на сертификат, содержащий сразу все необходимые имена, а это хорошая экономия времени. Также дополнительные имена могут быть добавлены в сертификат и после его выпуска. Это крайне удобно в случае, если один из доменов Вам пока неизвестен. Заказать мультидоменный EV-сертификат можно на сайте компании ЛидерТелеком.
Еще одно преимущество мультидоменного сертификата перед отдельными EV-сертификатами – простота администрирования. Гораздо проще управлять одним мультидоменным сертификатом, чем обслуживать массу отдельных сертификатов. Также мультидоменные сертификаты позволяют сэкономить некоторую сумму (чем больше сайтов, тем выше экономия). Именно по этим причинам владельцы веб-сайтов все чаще обращаются к покупке именно мультидоменных EV-сертификатов. Заказать мультидоменный EV-сертификат с хорошей скидкой вы всегда можете на сайте ЛидерТелеком.
Wildcard ssl сертификат: защита поддоменов от 6 438 руб
Вариантов использования поддоменов, а соответственно, и случаев, когда необходимо их защищать с помощью Wildcard SSL-сертификата, великое множество.
К наиболее популярным сейчас поддоменам можно отнести, например, такие:
Поддомены бывают полезны организациям с относительно сложной структурой, имеющим филиалы, выполняющим разнородные функции и т. п.
У некоторых предприятий могут быть довольно крупные подразделения с собственными информационными системами, которые можно привязать к разным поддоменам, например, таким:
Несложно представить и другую ситуацию: подразделений у предприятия немного, зато есть большое число региональных филиалов. В этом случае набор поддоменов мог бы выглядеть так:
Wildcard ssl-сертификаты для поддоменов от 4210 ₽/год
Wildcard сертификат защищает домен и все его поддомены следующего уровня *.example.com. Покупка Wildcard SSL сертификата выгодна при количестве субдоменов больше 5, а благодаря неограниченной возможности установки одним Wildcard-сертфикатом можно защитить сайт, интернет-магазин, почтовый, файловый сервер и сервер приложений. Уровень проверки Wildcard сертификатов: Домен и Организация. Ограничения Wildcard сертификатов: защита только одного уровня поддоменов и невозможность получения wildcard сертификата с расширенной проверкой (EV – extended validation).
В High Cloud можно получить Wildcard сертификаты удостоверяющих центров GoGetSSL, Sectigo, RapidSSL, Thawte, GeoTrust и DigiCert. Гарантия финансовой защиты начинается от $50,000 у самого дешевого GoGetSSL WildcardSSL до $1,250,000 у DigiCert Wildcard.
Настройка веб-сервера
Я не буду здесь описывать настройку веб-сервера, т.к. мой кусок конфига вряд ли подойдет вам.
Вы сами должны найти настройку SSL для вашей версии веб-сервера и CMS.
Небольшая заметка про wildcard сертификаты let’s encrypt
Все уже, наверное, в курсе про такую организацию как Let’s Encrypt. С некоторых пор там можно получить и wildcard сертификат. В этой короткой заметке я опишу пару не очень очевидных моментов, с которыми столкнулся.
1. Wildcard сертификат можно получить только через DNS plugins:
Doing domain validation in this way is the only way to obtain wildcard certificates from Let’s Encrypt.
Т.е. наши варианты — это либо один из DNS plugins, либо manual preferred-challenges=dns-01.
Подробнее здесь.
Использование DNS plugins подробно описано в документации по ссылке выше.
При использовании режима manual, нужно будет вручную добавить TXT запись в DNS. Эта запись каждый раз будет разная, т.е. автоматическое продление сертификата в этом случае возможно только через хуки certbot. Там же, кстати, можно повесить и команду, например, на рестарт nginx.
2. Нужно использовать сервер с API v.2:
https://acme-v02.api.letsencrypt.org/directoryВероятно в будущих версиях certbot произойдет переход на использование API v.2 по умолчанию, но пока вот так.
Я использую docker для запуска certbot. Весьма удобно. Таким образом, команда для получения сертификата получается вот такая:
docker run -it --rm
-v /docker/volumes/etc/letsencrypt:/etc/letsencrypt
-v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt
-v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt
certbot/certbot
certonly --manual
--preferred-challenges dns-01
--server https://acme-v02.api.letsencrypt.org/directory
--register-unsafely-without-email --agree-tos
--manual-public-ip-logging-ok
-d example.com -d *.example.comРезультаты работы certbot будут доступны в /docker/volumes/, откуда их можно подключать в другие контейнеры.
Обратите внимание на ключ «manual-public-ip-logging-ok» — если его не указать, то появляется вот такой вопрос при запуске:
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you’re running certbot in manual mode on a machine that is not
your server, please ensure you’re okay with that.
Are you OK with your IP being logged?
Как я понял, пока адреса нигде не доступны (но логируются), их публикация есть в ближайших планах. На мой личный взгляд, немного странная политика.
Создание сертификата
В отличии от других способов валидации, здесь сертификат создается легко и быстро. Вместо example.org укажите свой домен.
Заключение
Настройка простая, но забыть её довольно легко. Поэтому сохраняйте в закладки.
Данный мануал предназначен в первую очередь для энтузиастов под свой сервер или под небольшие проекты, поэтому здесь нет особого внимания к безопасности или дополнительным настройкам.