Я занимаюсь бизнесом и совсем не понимаю, что такое SSL-сертификаты

Я занимаюсь бизнесом и совсем не понимаю, что такое SSL-сертификаты Сертификаты
На чтение 14 мин. Просмотров 43 Опубликовано
Содержание
  1. Я занимаюсь бизнесом и совсем не понимаю, что такое ssl-сертификаты
  2. Другие виды сертификатов
  3. Что такое ssl-сертификат
  4. Extended validation
  5. Что такое ssl и что такое tls?
  6. А зачем мне платить, если есть бесплатные сертификаты, которые выдают просто так?
  7. Что за печать доверия?
  8. То есть такие защищённые сайты не могут взломать хакеры?
  9. Настройка nginx на использование клиентских сертификатов
  10. Самоподписные ssl-сертификаты
  11. Настройка apache на использование клиентских сертификатов
  12. Organization validation
  13. Domain validation
  14. Безопасность
  15. Установка ssl/tls-сертификата на сервер с nginx
  16. Серверный сертификат
  17. Зачем тогда вообще нужны бесплатные ssl?
  18. А как понять, какой сертификат мне нужен?
  19. Запрос на подпись (csr, certificate sign request)
  20. А какие ещё есть плюсы от ssl для владельца сайта?
  21. «прослушка» информации о сертификате при помощи openssl
  22. Установка ssl/tls-сертификата на сервер с apache
  23. Цепочка действий по генерации сертификатов
  24. Что за закон такой?
  25. Так, а где можно получить ssl-сертификат?
  26. Создание клиентского сертификата
  27. Просмотр информации о сертификате
  28. Ок, понятно, что сертификат нужен. он один такой?

Я занимаюсь бизнесом и совсем не понимаю, что такое ssl-сертификаты

SSL-сертификат для домена выпускается и оплачивается на один или два года. После окончания действия его нужно продлевать.  

Сначала выберите сертификат, который подойдет для ваших бизнес-целей. SSL-сертификаты бывают нескольких типов: Domain Validation SSL (DV SSL), Organization Validation SSL (OV SSL) и Extended Validation SSL (EV SSL).

  1. DV SSL — базовые сертификаты, которые подтверждают только право владения доменом. Как правило, используются для информационных проектов (блогов, информационных сайтов и сайтов-портфолио). Выпускаются в течение 1-3 дней.
  2. OV SSL — стандартные сертификаты, доступные только юридическим лицам. Они подтверждают право владения доменом и существование организации. Используются для бизнес-сайтов и интернет-магазинов. Выпускаются в течение 3-10 дней.
  3. EV SSL — расширенные сертификаты, которые также доступны только юридическим лицам. Отличаются от OV SSL большей надежностью: при выпуске сертификата тщательно проверяется деятельность компании. Кроме того, EV SSL визуально подтверждает высокую надежность сайта, выделяя его зеленым цветом в адресной строке в большинстве браузеров. Сертификаты этого типа рекомендуется использовать банкам и платформам электронной коммерции. Выпускаются в течение 10-14 дней.

Также SSL-сертификаты различаются в зависимости от Центра сертификации, который их выпускает: GeoTrust, GlobalSign, Thawte, DigiCert, Comodo. Подробнее о том, как выбрать SSL-сертификат, мы писали в справочной статье RU-CENTER.

Закажите сертификат, который подойдет вашему проекту по уровню безопасности. Выпуск SSL-сертификата — первый шаг на пути к надёжному сайту. Дальнейшие действия требуют специальных знаний в IT-сфере. Если вы не чувствуете себя компетентным в вопросах управления хостингом и настройки в административной панели CMS, обратитесь к разработчикам сайта. 

Рассмотрим общий план действий, которые приведут к заветному HTTPS в строке браузера. Он подойдет клиентам RU-CENTER. 

Другие виды сертификатов

Напоследок хотелось бы сказать, что помимо обозначенной градации сертификатов — DV, OV, EV — существуют и другие типы сертификатов. Например, сертификаты могут отличаться по количеству доменов, на которые они выдаются. Однодоменные сертификаты (Single Certificate) привязываются к одному домену, указываемому при покупке.

сертификаты (типа Subject Alternative Name, Unified Communications Certificate, Multi Domain Certificate) будут действовать уже для большего числа доменных имен и серверов, но за каждое наименование, включаемое в список сверх обозначенного количества, придется доплачивать отдельно.

Еще существуют поддоменные сертификаты (типа WildCard), которые охватывают все поддомены указанного при регистрации доменного имени. Иногда могут потребоваться сертификаты, которые будут одновременно включать помимо доменов несколько поддоменов.

В таких случаях стоит приобретать сертификаты типа Comodo PositiveSSL Multi-Domain Wildcard и Comodo Multi-Domain Wildcard SSL. Отметим, что в этом случае можно также приобрести обычный мультидоменный сертификат, в котором просто указать необходимые поддомены.

Получить SSL-сертификат можно и самостоятельно: пара ключей для этого получается через любой генератор, например, бесплатный OpenSSL. Такие защищенные каналы связи можно с легкостью использовать для внутренних нужд компании: для обмена между устройствами сети или приложениями.

P.S. Несколько материалов по теме из нашего блога:

Что такое ssl-сертификат

Когда ваши клиенты заходят на сайт и оставляют там свои контактные данные, номер карты и т.п. эти данные могут похитить злоумышленники. Так происходит, если ваш сайт не может обеспечить безопасное соединение. Безопасное соединение открывается по протколу https.

https — протокол для передачи данных с криптографическим SSL соединением. Чтобы его настроить, необходимо предварительно установить цифровой SSL сертификат.

Про сертификаты:  Сертификаты для маркетплейса: какие нужны, как получить, что можно продавать без них

Протокол https – указывается в адресе ссылки, перед вашим доменом.
Пример: https://my-sertif.ru. 
Если у вашего сайта пока нет ssl-сертификата, то он будет открываться только по протоколу http(без s на конце).
Пример: http://my-site.ru.

Чтобы обеспечить безопасное соединение и открытие сайта по https и подключается ssl-сертификат. SSL-сертификат — это что-то вроде цифрового документа, обеспечивающего безопасность вашего сайта. Он защищает данные ваших клиентов, которые они оставляют на сайте. Плюс ко всему, позиции сайтов с таким сертификатом значительно выше в поисковой выдаче, чем сайты без него.

Сертификат безопасности и 152-ФЗ — для сайтов, где пользователь вводит личные и платежные данные SSL-сертификат обязателен по закону № 152-ФЗ «О персональных данных»: компании обязаны обеспечить безопасность хранения информации о пользователях. В первую очередь это относится к финансовым организациям, интернет-магазинам, форумам и социальным сетям.

В этой статье мы расскажем, как можно подключить бесплатный SSL-сертификат от сервиса Cloudflare.

Extended validation

SSL-сертификаты с расширенным уровнем проверки являются самыми надёжными, но и самыми дорогими. Хорошо подойдут для крупной и серьезной организации, для которой важны престиж и безопасность.

Сертификат уровня EV:

  • предлагает самый высокий уровень защиты и наивысший уровень доверия среди других SSL-сертификатов
  • выдаётся только юридическим лицам;
  • для регистрации необходимы следующие дополнительные документы: свидетельство о постановке на учёт в налоговом органе, уведомление о регистрации юридического лица, извещение о регистрации в качестве страхователя и другие;
  • поддерживает кириллические домены;
  • выпускается в течение 3-10 дней.
  • обойдётся примерно от 10 000 до 100 000 рублей в год.

Также после документальной проверки провайдер может позвонить по официально заявленному телефону организации, совершив тем самым дополнительный этап проверки. Зато после прохождения всего этого документооборота ваш сайт будет обладать самым высоким уровнем доверия, о чём будет свидетельствовать зелёная панелька с названием компании в адресной строке.

По ней пользователи и смогут определить высокий бизнес статус компании, а при нажатии на панель узнать полные сведения об организации. Сертификаты этого типа служат отличной защитой от фишинга: из-за строгих требований верификации, злоумышленники не смогут пройти все этапы проверки, в результате чего “липовые” EV-сертификаты встречаются в крайне редких случаях.

Что такое ssl и что такое tls?

SSL — Secure Socket Layer, уровень защищенных сокетов. TLS — Transport Layer Security, безопасность транспортного уровня. SSL является более ранней системой, TLS появился позднее и он основан на спецификации SSL 3.0, разработанной компанией Netscape Communications.

Тем не менее, задача у этих протоколов одна — обеспечение защищенной передачи данных между двумя компьютерами в сети Интернет. Такую передачу используют для различных сайтов, для электронной почты, для обмена сообщениями и много еще для чего. В принципе, можно передавать любую информацию таким образом, об этом чуть ниже.

Безопасная передача обеспечивается при помощи аутентификации и шифрования передаваемой информации. По сути эти протоколы, TLS и SSL, работают одинаково, принципиальных различий нет. TLS, можно сказать, является преемником SSL, хотя они и могут использоваться одновременно, причем даже на одном и том же сервере.

SSL 1.0 — никогда не публиковалсяSSL 2.0 — февраль 1995 годаSSL 3.0 — 1996 годTLS 1.0 — январь 1999 годаTLS 1.1 — апрель 2006 годаTLS 1.2 — август 2008 года

А зачем мне платить, если есть бесплатные сертификаты, которые выдают просто так?

Существует несколько видов бесплатных сертификатов. Есть такие проекты, как CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такие сертификаты выпускаются всего на 3 месяца и далее требуют продления (иногда платного).

Но в их установке и использовании есть ряд минусов. Например, эти сертификаты не предусматривает печати доверия. Также сертификат Cloudflare  и выдаётся на 50 сайтов сразу, что несёт за собой риски безопасности. Если говорить о LetsEncrypt учтите, что сертификат поддерживается далеко не во всех браузерах.

Также просим вас сохранять бдительность. Если вы видите, что перед вами «крупный» сайт с бесплатным сертификатом — задумайтесь, довольно часто их выбирают мошенники, чтобы вызвать доверие пользователей. Мошенники вряд ли будут связываться с авторитетным УЦ да ещё и платить за то, что можно получить бесплатно.

Про сертификаты:  Как газифицировать частный дом в Московской области

Что за печать доверия?

Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.

Существует два вида печатей: 

  1. Статическая — изображение формата PNG, которое прилагается к сертификатам с проверкой домена. При клике по картинке пользователь попадает на страницу с информацией о сертификате.
  2. Динамическая — такое же изображение, но без ссылки. При наведении курсора открывается встроенное окно с подробной информацией о компании и сертификате, защищающем сайт.

Когда посетитель видит печать SSL на сайте, он ещё раз убеждается, что соединение с ним надёжно защищено. Можно совершать покупки, денежные переводы и не беспокоиться, что данные перехватят мошенники. И раз доверие пользователей к сайту растёт, значит и конверсия повышается.

То есть такие защищённые сайты не могут взломать хакеры?

SSL защищают сайт от перехвата информации, которой пользователь обменивается с сайтом. А ещё некоторые SSL-сертификаты подтверждают (OV и ЕV), что посетитель веб-ресурса имеет дело с авторизованным сайтом, который принадлежит определённому владельцу.

Но, нажав на замочек, вы сможете убедиться в подлинности организации. Нажав на вкладку «Подробнее», вы найдёте следующую информацию:

  • доменное имя, на которое оформлен SSL-сертификат;
  • юридическое лицо, которое владеет сертификатом.

Настройка nginx на использование клиентских сертификатов

Чаще всего, как я уже сказал, используется односторонняя аутентификация, обычно проверяется только сертификат сервера. Давайте посмотрим, как заставить веб-сервер nginx проверять клиентский сертификат. Необходимо в секцию server добавить опции для работы с клиентскими сертификатами:

# Корневой сертификат(ы), которым(и) подписан клиентский
ssl_client_certificate /etc/nginx/certs/clientroot.pem;
# Возможные варианты: on | off | optional | optional_no_ca
ssl_verify_client optional;
# Глубина проверки цепочки сертификатов, которыми подписан клиентский
ssl_verify_depth 2;

После этого надо перезагрузить настройки или сервер целиком и можно проверять работу.

Самоподписные ssl-сертификаты

Получение SSL- сертификата, разумеется, стоит денег, при этом действует он ограниченное количество времени. Поэтому многие используют так называемые самоподписные SSL-сертификаты. Сгенерировать их можно с помощью панели управления хостингом прямо на веб-сервере, причём сделать это можно совершенно бесплатно. Однако, далеко не всегда целесообразно использовать самоподписной сертификат.

Любой браузер проверяет, выдан ли сертификат известным ему центром сертификации, и если нет (а это и есть случай самоподписного сертификата), то выдаёт на него ошибку и выводит на экран большую табличку с надписью “Сертификат безопасности сайта не является доверенным!”.

Настройка apache на использование клиентских сертификатов

Apache настраивается также через добавление дополнительных опций в секцию виртуального хоста: 

# Директория, содержащая корневые сертификаты для проверки клиентов
SSLCARevocationPath /etc/apache2/ssl.crl/
# или файл, содержащий сертификаты
SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl
# Опция верификации клиента. Возможные варианты:
# none, optional, require and optional_no_ca
SSLVerifyClient require
# Глубина просмотра цепочки подписей. По умолчанию 1
SSLVerifyDepth  2

Как видите, опции примерно такие же, как и для nginx, поскольку процесс проверки организован единообразно.

Organization validation

OV-сертификат подтверждает бизнес-статус организации и вызывает куда больше доверия пользователей, чем DV-сертификат. Данный тип сертификата хорошо подойдёт для онлайн-магазина и другого небольшого интернет-бизнеса.

Сертификат уровня защиты OV:

  • обеспечивает средний уровень защиты;
  • выдаётся только юридическим лицам;
  • для регистрации необходимо предоставить копии документов организации, счёт телефонной компании с указанным названием организации и номером телефона её владельца;
  • выпускается в течение 1-5 дней;
  • обойдётся примерно от 4 000 рублей до 50 000 рублей в год.

Domain validation

DV сертификаты подтверждают только факт того, что именно владельцу сертификата действительно принадлежит данный домен и являются наиболее доступной разновидностью SSL-сертификатов. Данные сертификаты лучшего всего подойдут для форумов и небольших сайтов или блогов с не очень большим количеством посетителей.

SSL-сертификат такого уровня:

  • обеспечивает только начальный уровень защиты;
  • доступен физическим и юридическим лицам;
  • не требует предоставление дополнительных документов;
  • выпускается в течение 5-10 минут;
  • обойдётся примерно в 1-4 тысячи рублей за год.

Безопасность

При использовании SSL/TLS одним из основных методов является метод MITM (Man In The Middle), «человек посередине». Этот метод основывается на использовании серверного сертификата и ключа на каком-то узле, который будет прослушивать трафик и расшифровывать информацию, которой обмениваются сервер и клиент.

Для организации прослушивания можно использовать, например, программу sslsniff. Поэтому корневой сертификат и ключ обычно желательно хранить на машине, которая не подключена к сети, для подписания приносить запросы на подпись на флэшке, подписывать и так же уносить. И, естественно, делать резервные копии.

Установка ssl/tls-сертификата на сервер с nginx

Для установки SSL/TLS-сертификата на веб-сервер nginx надо выполнить несколько простых шагов:

Про сертификаты:  Подарочный сертификат в Реутов | Студия Светланы Середой

1) Скопировать файлы .key и .pem на сервер. В различных операционных системах сертификаты и ключи могут храниться в разных директориях. В Debian’е, к примеру, это директория /etc/ssl/certs для сертификатов и /etc/ssl/private для ключей. В CentOS это /etc/pki/tls/certs и /etc/pki/tls/private

2) Прописать необходимые настройки в конфигурационный файл для хоста. Вот как это примерно должно выглядеть (это просто пример):

Серверный сертификат

Для подписи сертификата для сервера нам нужно выполнить следующие действия:

1) Сгенерировать ключ2) Сгенерировать запрос на подпись3) Отправить CSR-файл в авторизационный центр или подписать самостоятельно

В серверный сертификат может включаться цепочка сертификатов, которыми подписан сертификат сервера, но ее можно также хранить в отдельном файле. В принципе, выглядит всё примерно так же, как и при генерации корневого сертификата

Зачем тогда вообще нужны бесплатные ssl?

Эти сертификаты могут стать отличным решением в качестве тест-драйва с возможностью сэкономить на первый год. Например, на нашем сайте вы можете приобрести бесплатный SSL‑сертификат от GlobalSign вместе с доменом или хостингом на год — этого времени должно хватить для старта интернет-проекта, а по мере его роста можно перейти на платный тариф.

А как понять, какой сертификат мне нужен?

На самом деле всё зависит от ваших потребностей. Сначала определитесь какое количество поддоменов вам нужно защитить. Потом задумайтесь о предпочтительной степени проверки вашей компании. От этого и будет зависеть цена SSL. Выбрать нужный сертификат можно на нашем сайте, пройдя специальный квиз. Также обратите внимание, что мы выдаём и бесплатные DV-сертификаты GlobalSign.

Запрос на подпись (csr, certificate sign request)

Для получения подписанного серверного сертификата необходимо сгенерировать запрос на подпись (CSR, Certificate Sign Request) и отправить этот запрос авторизационному центру, который вернет подписанный сертификат, устанавливаемый непосредственно на сервер, чуть ниже посмотрим, как это сделать на практике. Сначала генерируется ключ для шифрования, затем на основании этого ключа генерируется запрос на подпись, CSR-файл.

А какие ещё есть плюсы от ssl для владельца сайта?

Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.

Например, большинство браузеров и поисковиков активно борются с незащищёнными сайтами. Например, компания Google понижает их в поисковой выдаче и отправляют специальные страницы-предупреждения на экран пользователя. 

«прослушка» информации о сертификате при помощи openssl

Для проверки взаимодействия сервера с клиентскими сертификатами можно проверить, устанавливается ли соединение с использованием TLS/SSL.

На стороне сервера запускаем прослушку порта при помощи openssl:

openssl s_server -accept 443 -cert server.pem -key server.key -state

На стороне клиента обращаемся к серверу, например, culr’ом:

Установка ssl/tls-сертификата на сервер с apache

Установка SSL/TLS-сертификата на Apache выглядит примерно так же.

1) Скопировать файлы ключа и сертификата на сервер в соответствующие директории

2) Включить модуль ssl для Apache командой «a2enmod ssl», если он еще не включен

3) Создать виртуальный хост, который будет слушать 443 порт. Конфиг будет выглядеть примерно так:

Цепочка действий по генерации сертификатов

Давайте посмотрим на практике, как происходят действия, связанные с генерацией сертификатов, с самого начала, и при этом на практике.

Первое, что делается — это генерация корневого сертификата. Корневой сертификат подписывается самим собой. А потом уже этим сертификатом будут подписываться другие сертификаты.

Что за закон такой?

Это закон «О персональных данных». Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО или email, то он становится оператором персональных данных. Согласно закону такие сайты должны соблюдать множество правил по защите данных своих клиентов, и установка SSL-сертификата — одна из них.

Так, а где можно получить ssl-сертификат?

Здесь тоже всё просто — в специальных удостоверяющих центрах. Эти центры подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи. Возможно вы уже встречали такие названия таких УЦ, как: GlobalSign, Symantec, Comodo, Thawte, GeoTrust, DigiCert.

Создание клиентского сертификата

Клиентский сертификат создается примерно так же, как серверный.

Просмотр информации о сертификате

Содержимое сертификата можно просмотреть таким образом:

Ок, понятно, что сертификат нужен. он один такой?

Нет, есть несколько видов SSL-сертификатов. 

myTarget ВКонтакте Сертификация
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат