• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Різновиди SSL сертифікатів. Способи їх вибору

    1. Що собою являє SSL сертифікат?
    2. Як отримати SSL сертифікат?
    3. Принципи роботи SSL сертифікатів
    4. Які дані містяться в SSL сертифікаті?
    5. Що таке центри сертифікації?
    6. Чи є різниця між центрами сертифікації?
    7. Види SSL сертифікатів
    8. Сертифікати, які підтверджують тільки доменне ім'я
    9. Сертифікати, які підтверджують дані про організацію
    10. Процес видачі сертифікатів OV
    11. Сертифікати з розширеною перевіркою
    12. Де придбати сертифікат?

    На сьогоднішній день існує велика кількість цифрових сертифікатів, кожен з яких виконує свої певні цілі

    На сьогоднішній день існує велика кількість цифрових сертифікатів, кожен з яких виконує свої певні цілі. Найпоширенішим типом сертифікатів можна вважати SSL сертифікати, які в свою чергу прийнято поділяти на кілька підвидів. Крім того, ви завжди можете скористатися Website Anti Malware Scanner, Code Signing і Unified Communications сертифікатами.

    Оскільки для вибору оптимального сертифіката (за потребою) існує невеликий алгоритм, то ми вирішили більш детально описати його за допомогою невеликого огляду і наданням прикладів для окремо взятої ситуації, наприклад, коли перед вами стоїть завдання підняття захищеного HTTPS-з'єднання для вашого сайту.

    Мабуть, все ж почнемо з SSL сертифікатів. SSL сертифікати - найпопулярніший вид сертифікатів в Інтернеті на даний момент. Найчастіше їх використовують Інтернет-магазинах (переважно для безпеки ваших покупок). Тобто в тому випадку, якщо на сайті передбачена функція замовлення з введенням персональних і платежів. Це робиться для того, щоб в момент передачі інформації від браузера до сервера неможливо було перехопити цю інформацію. Також в даному випадку використовується протокол HTTPS, який і шифрує всі дані. Для того, щоб скористатися всіма можливостями протоколу HTTPS, як раз і потрібні цифрові SSL сертифікати, а також виділений IP для сайту.

    Що собою являє SSL сертифікат?

    SSL (Secure Socket Layer) - стандартний сертифікат безпеки, який використовується для забезпечення зашифрованого з'єднання між браузером і веб-сервером. Такий вид сертифіката дозволяє використовувати HTTPS протокол. Таким чином, ви отримуєте можливість використання безпечного з'єднання, яке гарантує збереження і приватність даних. Як вже було сказано вище, найпоширенішим прикладом використання SSL сертифікату і HTTTP протоколу є забезпечення захисту приватної інформації клієнта при купівлі товару в Інтернет-магазині.

    Як отримати SSL сертифікат?

    Найпростіший спосіб отримання SSL сертифікату (а головне - безкоштовний) - використання самоподпісного сертифіката (по-іншому він ще називається «self-signed»), який генерується безпосередньо на веб-сервері. Також варто відзначити, що у всіх популярних панелях управління хостингом (наприклад, Cpanel або Directadmin) така можливість доступна для користувача за замовчуванням, тому ми не будемо акцентувати увагу на технічну сторону процесу створення сертифіката.

    До переваг self-signed сертифіката можна віднести його вартість (а точніше - її повна відсутність). Ну а до головних недоліків можна приписати той факт, що практично всі браузери будуть видавати помилку з попередженням, що сайт є неперевіреними (див. Рис. Нижче)

    Тому можна зробити висновок, що такі сертифікати більше підходять для внутрішнього використання. Для публічних же сайтів і Інтернет-магазинів використання self-signed сертифікатів заборонено. Погодьтеся, якщо клієнт при здійсненні замовлення побачить такий напис, він кілька разів подумає, перш ніж продовжувати оформляти покупку в вашому Інтернет-магазині.

    Щоб розібратися в даній проблемі з видачею помилки, необхідно також дізнатися про основні принципи роботи SSL сертифікатів .

    Принципи роботи SSL сертифікатів

    Перше, що потрібно зробити для отримання SSL сертифікату - сформувати спеціальний запит на створення сертифіката (Certificate Signing Request). Під час формування такого запиту вам буде поставлено ряд уточнюючих питань, наприклад, про домен або компанії. Після завершення побудови запиту вам будуть надано два типи ключів: публічний і приватний.

    Публічний ключ не є секретним і зазвичай поміщається в CSR запит.
    Приклад подібного запиту:

    --BEGIN CERTIFICATE REQUEST--
    MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAlVBMQ0wCwYDVQQIEwRLaWV2MQ0wCwYD
    VQQHEwRLaWV2MRQwEgYDVQQKEwtIb3N0QXV0b21hdDEQMA4GA1UECxMHaG9zdGlu
    ZzEmMCQGCSqGSIb3DQEJARYXc3VwcG9ydEBob3N0YXV0b21hdC5jb20xHDAaBgNV
    BAMTE3d3dy5ob3N0YXV0b21hdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
    ggEKAoIBAQDTg7iUv / iX + SyZl74GcUVFHjFC5IqlTNEzWgLWrsSmxGxlGzXkUKid
    NyXWa0O3ayJHOiv1BSX1l672tTqeHxhGuM6F7l5FTRWUyFHUxSU2Kmci6vR6fw5c
    cgWOMMNdMg7V5bMOD8tfI74oBkVE7hV95Ds3c594u7kMLvHR + xui2S3z2JJQEwCh
    mflIojGnSCO / iv64RL9vjZ5B4jAWJwrruIXO5ILTdis41Z1nNIx3bBqkif0H / G4e
    O5WF6fFb7etm8M + d8ebkqEztRAVdhXvTGBZ4Mt2DOV / bV4e / ffmQJxffTYEqWg8w
    b465GdAJcLhhiSaHgqRzrprKns7QSGjdAgMBAAGgADANBgkqhkiG9w0BAQUFAAOC
    AQEAuCfJKehyjt7N1IDv44dd + V61MIqlDhna0LCXH1uT7R9H8mdlnuk8yevEcCRI
    krnWAlA9GT3VkOY3Il4WTGg3wmtq6WAgLkVXQnhIpGDdYAflpAVeMKil8Z46BGIh
    KQGngL2PjWdhMVLlRTB / 01nVSKSEk2jhO8 + 7yLOY1MoGIvwAEF4CL1lAjov8U4XG
    NfQldSWT1o8z9sDeGsGSf5DAXpcccx0gCyk90HFJxhbm / vTxjJgchUFro / 0goVpB
    credpKxtkwBMuCzeSyDnkQft0eLtZ9b9Q4 + ZNDWsPPKxo / zWHm6Pa / 4F4o2QKvPC
    Px9x4fm + / xHqkhkR79LxJ + EHzQ ==
    --END CERTIFICATE REQUEST--

    Дані, які містяться в цьому ключі, легко піддаються перевірці за допомогою спеціальних сервісів CSR Decoder типу. До одним з таких можна віднести CSR Decoder 1 або CSR Decoder 2 . Другий сервіс надає більше корисної інформації про запит, перевіряючи його на валідність.

    Якщо ми розшифруємо такий запит, то отримаємо дані, які містяться в публічному ключі.

    CSR Information:
    Common Name: host.ua - доменне ім'я, яке ми хочемо захистити таким сертифікатом
    Organization: Host - назва організації, якій і належить домен
    Organization Unit: Hosting department - підрозділ організації
    Locality: Nikolaev - місто, де знаходиться організація
    State: Nikolaev - штат або область
    Country: UA - двобуквений код країни, в якій базується офіс
    Email: [email protected] - контактний e-mail служби підтримки або тех.адміністратора

    Важливий момент - варто звернути особливу увагу на поле Country - формат даного поля дозволяє використовувати тільки двобуквений код країни згідно стандарту ISO 3166-1. Якщо ви не впевнені в правильності введення даного коду, то можете скористатися Таблицею ISO-3166-1 . Ми звернули на увагу на це поле не просто так, оскільки досить поширеною помилкою у більшості користувачів при формуванні запиту CSR є неправильне зазначення коду країни.

    Після того, як був згенерований CSR, ви можете оформляти заявку на випуск сертифіката. Під час випуску центр сертифікації буде проводити перевірку ваших даних, і в тому випадку, якщо все пройшло успішно, надасть вам SSL сертифікат з можливістю використання HTTPS протоколу. Далі ваш сервер автоматично скомпонірует згенерований приватний ключ і випущений сертифікат. Це означає, що тепер ваш сервер готовий здійснювати безпечне з'єднання між сайтом і браузером клієнта.

    Які дані містяться в SSL сертифікаті?

    SSL сертифікат зберігає в собі наступну інформацію:

    - унікальне ім'я власника сертифіката;

    - публічний ключ власника;

    - дати видачі та закінчення сертифіката;

    - унікальне ім'я центру сертифікації;

    - цифровий підпис видавця.

    Що таке центри сертифікації?

    Це такі організації, у яких є право видачі цифрових сертифікатів. Вони проводять перевірку зазначених вами даних перед видачею самого сертифіката, які містяться в CSR. У найпростіших сертифікатах може перевірятися тільки відповідність доменного імені, для більш дорогих же варіантів проводиться повна перевірка даних, включаючи і саму організацію, яка запитує випуск сертифіката.

    Основна різниця між безкоштовними self-signed і платними сертифікатами в тому, що дані в другому випадку будуть перевірені організацією з випуску сертифікатів, та в подальшому клієнти не зможуть побачити вищенаведену помилку, яка негативним чином позначається на оформлення замовлення.

    Таким чином, SSL сертифікати відтворюють ваше доменне ім'я, назву організації, країну, місто і інші важливі дані, такі як дата випуску і дата закінчення його дії. Після підключення браузера до захищеного сайту відбувається автоматична перевірка сертифіката на відповідність таким пунктам: дата дії сертифіката, перевірка центру сертифікації, безпосереднє використання сертифіката на тому сайті, для якого він був випущений.

    Якщо хоча б по одному з цих пунктів виявляється невідповідність, то браузер відображає попередження відвідувачеві (скріншот якого був приведений раніше) про те, що сайт використовує небезпечне з'єднання SSL. Подальші дії залежать тільки від самого користувача - продовжувати перегляд сайту або покинути його.

    Якщо ж ви не визначилися з центром сертифікації, то їх існує досить багато, ось найпопулярніші з них:

    1. Comodo (працює з 1998 р). Базується в Джерсі-Сіті, Нью-Джерсі, США.
    2. Geotrust (заснований в 2001 р, в 2006 р - проданий компанії Verisign). Штаб-квартира знаходиться в Моунтейн В'ю, Каліфорнії, США.
    3. Symantec (колишній Verisign). Компанія придбала всіх своїх конкурентів в 2010 р

    4. Thawte (центр заснований в 1995 р, в 1999 р - проданий Verisign)
    5. Trustwave (на ринку з 1995 р). Головний офіс компанії розташувався в Чикаго, Іллінойс, США.

    Чи є різниця між центрами сертифікації?

    Основною відмінністю між ЦС можна вважати ціну самого сертифіката і кількість браузерів, яке підтримує їх кореневий сертифікат, оскільки якщо в браузері користувача немає сертифіката даного центру, то відвідувач все одно отримає помилку при вході на сайт. Якщо ж говорити про вищевказані центрах, то їх кореневі сертифікати присутні у всіх популярних браузерах.

    Якщо ж ви хочете перевірити дані свого браузера, то потрібно виконати наступне (на прикладі браузера Google Chrome): перейдіть у вкладку «Налаштування» -> »Показати додаткові налаштування» -> »Управління сертифікатами» -> »Довірені кореневі центри сертифікації». В даному браузері ви знайдете більш 50 подібних кореневих сертифікатів.

    Важливий момент - у багатьох клієнтів виникала така проблема: навіть при установці SSL сертифікату на сервері при відвідуванні сайту через певний браузер все одно виникала помилка. Щоб її виправити, необхідно перевірити файл ca-bundle.crt кореневий сертифікат (а саме термін його дії); якщо ж він застарів, то потрібно спробувати завантажити останню версію браузера з оновленими кореневими сертифікатами.

    Варто також відзначити, що з 2010 р всі ЦС перейшли на використання ключів типу 2048bit RSA Keys, тому ми рекомендуємо вам встановлювати тільки нові кореневі сертифікати для більш коректної роботи з ними.

    Нові кореневі сертифікати можна завантажити тут:

    RapidSSL Certificate


    GeoTrust SSL Certificates


    Thawte SSL Certificates


    VeriSign SSL Certificates

    Зверніть вашу увагу на те, що купувати сертифікати безпосередньо у ЦС невигідно, тому що вони істотно завищують ціну для кінцевих споживачів, ніж для своїх партнерів. Найбільш вигідним способом покупки таких сертифікатів, як ви вже встигли зрозуміти, буде їх придбання у партнерських сервісів, оскільки вони закуповують сертифікати за оптовими цінами і в великій кількості, що дозволяє вам трохи заощадити.

    Давайте ж тепер більш детально розглянемо види SSL сертифікатів.

    Види SSL сертифікатів

    Між собою сертифікати відрізняються рівнем валідації і своїми властивостями.

    Типи сертифікатів за типом валідації:


    - сертифікати, що підтверджують тільки доменне ім'я (DV - Domain Validation);

    - сертифікати, що підтверджують домен і організацію (OV - Organization Validation);

    - сертифікати з розширеною перевіркою (EV - Extended Validation).


    Тепер про кожен вид сертифікатів поговоримо більш детально:

    Сертифікати, які підтверджують тільки доменне ім'я


    Це найпростіший вид сертифікатів, оскільки вони випускаються автоматично. При перевірці такого сертифіката ви отримуєте лист на електронну пошту з посиланням, по якій потрібно перейти для підтвердження випуску.

    Важливий момент - це лист може бути відправлений тільки на approved email, який був зазначений безпосередньо при замовленні самого сертифіката. ? до цією адресою застосовуються певні вимоги - він повинен знаходитися на тому ж домені, для якого ви замовили сертифікат або ж він повинен бути прописаний в whois домена.

    Якщо ж вказаний вами електронну адресу знаходиться в тому ж домені, що і сертифікат, то вказувати будь-який з email-адрес можна. Для таких адрес повинні бути враховані наступні відповідності:

    admin @
    administrator @
    hostmaster @
    postmaster @
    webmaster @

    Інший важливий момент: іноді автоматичні сертифікати з моментальним випуском піддаються додатковій перевірці ЦС, попередньо вибрані випадковим чином. Тому є невелика ймовірність того, що навіть найпростіший сертифікат може бути випущений не моментально.

    Сертифікати SSL з валідація домену випускаються тоді, коли ЦС перевірив ваші права на зазначений домен. Перевірка інформації про вашу організацію в даному випадку не проводиться.

    Сертифікати, які підтверджують дані про організацію


    У сертифікаті такого типу вже вказуються дані про організацію. Приватна особа не зможе отримати сертифікат такого плану. Якщо говорити про терміни видачі сертифікатів з валідація організації, то їх випуск становить від 3 до 10 робочих днів, в залежності від обраного ЦС.

    Процес видачі сертифікатів OV

    Після отримання запиту на випуск ЦС проводить перевірку організації за вказаними даними в CSR запиті.

    Оскільки різні центри сертифікації встановлюють свої вимоги, пропонуємо вам ознайомитися з повним їх списком, за якими і буде проводитися перевірка вашої організації:


    1. Чи полягає організація в міжнародних жовтих сторінках (Yellow Pages) - не є обов'язковим пунктом для всіх ЦС.

    2. Наявність назви організації в whois домена - перевіряється усіма ЦС обов'язково; в деяких випадках потрібно перевірка даних за допомогою так званого гарантійного листа (якщо назва компанії не вказано в whois, але домен належить дійсно вашої компанії) або підтвердження від реєстратора домену.
    3. Свідоцтво про реєстрацію компанії - для України можлива перевірка по базі ЄДРПОУ ; не є обов'язковим пунктом для всіх ЦС.

    4. Перевірка на валідність вашого телефонного номера - потрібно досить рідко.

    5. перевірки дзвінок - валідність вашого номера телефону перевіряється все частіше за допомогою дзвінка за вказаним номером в замовленні. При контакті попросять до телефону співробітника, зазначеного в листі замовлення. До того ж, оскільки всі компанії англомовні і вони часто не мають у своєму розпорядженні російськомовними співробітниками, будьте готові до того, що вам доведеться спілкуватися і уточнювати інформацію англійською.

    Сертифікати з розширеною перевіркою

    Цей вид сертифікатів є найдорожчим, і отримати його, відповідно, також не легко. Такі сертифікати мають так званої опцією green bar - це зелена рядок, яка буде видна в браузері при вході на сайт з назвою організації, яка отримала сертифікат.

    Де придбати сертифікат?

    Сертифікат можна придбати на нашому сайті в розділі SSL Сертифікати

    Що собою являє SSL сертифікат?
    Як отримати SSL сертифікат?
    Що таке центри сертифікації?
    Чи є різниця між центрами сертифікації?
    Що собою являє SSL сертифікат?
    Як отримати SSL сертифікат?
    Які дані містяться в SSL сертифікаті?
    Що таке центри сертифікації?
    Чи є різниця між центрами сертифікації?
    Де придбати сертифікат?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua