Разновидности SSL сертификатов. Способы их выбора

Опубликовано Опубликовано в рубрике Статьи

На сегодняшний день существует большое количество цифровых сертификатов, каждый из которых выполняет свои определенные цели. Самым распространенным типом сертификатов можно считать SSL сертификаты, которые в свою очередь принято разделять на несколько подвидов. Кроме того, вы всегда можете воспользоваться Website Anti Malware Scanner, Code Signing и Unified Communications сертификатами.

Поскольку для выбора оптимального сертификата (по необходимости) существует небольшой алгоритм, то мы решили более подробно описать его с помощью небольшого обзора и предоставлением примеров для отдельно взятой ситуации, например, когда перед вами стоит задача поднятия защищенного HTTPS-соединения для вашего сайта.

Пожалуй, все же начнем с SSL сертификатов. SSL сертификаты — самый популярный вид сертификатов в Интернете на данный момент. Чаще всего их используют Интернет-магазинах (преимущественно для безопасности ваших покупок). Т.е. в том случае, если на сайте предусмотрена функция заказа с вводом персональных и платежных данных. Это делается для того, чтобы в момент передачи информации от браузера к серверу невозможно было перехватить данную информацию. Также в данном случае используется протокол HTTPS, который и шифрует все данные. Для того, чтобы воспользоваться всеми возможностями протокола HTTPS, как раз и нужны цифровые SSL сертификаты, а также выделенный IP для сайта.

 

Что собой представляет SSL сертификат?

SSL (Secure Socket Layer) — стандартный сертификат безопасности, который используется для обеспечения зашифрованного соединения между браузером и веб-сервером. Такой вид сертификата позволяет использовать HTTPS протокол. Таким образом, вы получаете возможность использования безопасного соединения, которое гарантирует сохранность и приватность данных. Как уже было сказано выше, самым распространенным примером использования SSL сертификата и HTTTP протокола является обеспечение защиты приватной информации клиента при покупке товара в Интернет-магазине.

 

Как получить SSL сертификат?

Самый простой способ получения SSL сертификата (а главное — бесплатный) — использование самоподписного сертификата (по-другому он еще называется «self-signed»), который генерируется непосредственно на веб-сервере. Также стоит отметить, что во всех популярных панелях управления хостингом (например, Cpanel или Directadmin) такая возможность доступна для пользователя по умолчанию, поэтому мы не будем акцентировать внимание на технической стороне процесса создания сертификата.

К преимуществам self-signed сертификата можно отнести его стоимость (а точнее — ее полное отсутствие). Ну а к главным недостаткам можно приписать тот факт, что практически все браузеры будут выдавать ошибку с предупреждением, что сайт является непроверенным (см. рис. ниже)

 

Поэтому можно сделать вывод, что такие сертификаты больше подходят для внутреннего использования. Для публичных же сайтов и Интернет-магазинов использование self-signed сертификатов запрещено. Согласитесь, если клиент при совершении заказа увидит такую надпись, он несколько раз подумает, прежде чем продолжать оформлять покупку в вашем Интернет-магазине.

Чтобы разобраться в данной проблеме с выдачей ошибки, необходимо также узнать про основные принципы работы SSL сертификатов.

 

Принципы работы SSL сертификатов

Первое, что нужно сделать для получения SSL сертификата — сформировать специальный запрос на создание сертификата (Certificate Signing Request). Во время формирования такого запроса вам будет задан ряд уточняющих вопросов, например, о домене или компании. После завершения построения запроса вам будут предоставлено два типа ключей: публичный и приватный.

Публичный ключ не является секретным и обычно помещается в CSR запрос.
Пример подобного запроса:

——BEGIN CERTIFICATE REQUEST——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——END CERTIFICATE REQUEST——

Данные, которые содержатся в данном ключе, легко поддаются проверке с помощью специальных сервисов CSR Decoder типа. К одним из таких можно отнести CSR Decoder 1 или CSR Decoder 2. Второй сервис предоставляет больше полезной информации о запросе, проверяя его на валидность.

Если мы расшифруем такой запрос, то получим данные, которые содержатся в публичном ключе.

CSR Information:
Common Name: host.ua — доменное имя, которое мы хотим защитить таким сертификатом
Organization: Host — название организации, которой и принадлежит домен
Organization Unit: Hosting department — подразделение организации
Locality: Nikolaev — город, где находится организация
State: Nikolaev — штат или область
Country: UA — двухбуквенный код страны, в которой базируется офис
Email: support@host.com — контактный e-mail службы поддержки или тех.администратора

Важный момент — стоит обратить особое внимание на поле Country — формат данного поля позволяет использовать только двухбуквенный код страны согласно стандарту ISO 3166-1. Если вы не уверены в правильности введения данного кода, то можете воспользоваться Таблицей ISO-3166-1. Мы обратили на внимание на это поле не просто так, поскольку довольно распространенной ошибкой у большинства пользователей при формировании запроса CSR является неправильное указание кода страны.

После того, как был сгенерирован CSR, вы можете оформлять заявку на выпуск сертификата. Во время выпуска центр сертификации будет проводить проверку ваших данных, и в том случае, если все прошло успешно, предоставит вам SSL сертификат с возможностью использования HTTPS протокола. Далее ваш сервер автоматически скомпонирует сгенерированный приватный ключ и выпущенный сертификат. Это значит, что теперь ваш сервер готов осуществлять безопасное соединение между сайтом и браузером клиента.

Какие данные содержатся в SSL сертификате?

SSL сертификат хранит в себе следующую информацию:

— уникальное имя владельца сертификата;

— публичный ключ владельца;

— даты выдачи и окончания сертификата;

— уникальное имя центра сертификации;

— цифровая подпись издателя.

Что такое центры сертификации?

Это такие организации, у которых есть право выдачи цифровых сертификатов.  Они производят проверку указанных вами данных перед выдачей самого сертификата, которые содержатся в CSR. В самых простых сертификатах может проверяться только соответствие доменного имени, для более дорогих же вариантов проводится полная проверка данных, включая и саму организацию, которая запрашивает выпуск сертификата.

Основная разница между бесплатными self-signed и платными сертификатами в том, что данные во втором случае будут проверены организацией по выпуску сертификатов, и в дальнейшем клиенты не смогут увидеть вышеприведенную ошибку, которая негативным образом сказывается на оформление заказа.

Таким образом, SSL сертификаты отображают ваше доменное имя, название организации, страну, город и другие важные данные, такие как дата выпуска и дата окончания его действия. После подключения браузера к защищенному сайту происходит автоматическая проверка сертификата на соответствие таким пунктам: дата действия сертификата, проверка центра сертификации, непосредственное использование сертификата на том сайте, для которого он был выпущен.

Если хотя бы по одному из этих пунктов обнаруживается несоответствие, то браузер отображает предупреждение посетителю (скриншот которого был приведен ранее) о том, что сайт использует небезопасное соединение SSL. Дальнейшие действия зависят только от самого пользователя — продолжать просмотр сайта или покинуть его.

Если же вы не определились с центром сертификации, то их существует достаточно много, вот самые популярные из них:

1. Comodo (работает с 1998 г.). Базируется в Джерси Сити, Нью-Джерси, США.
2. Geotrust (основан в 2001 г., в 2006 г. — продан компании Verisign). Штаб-квартира находится в Моунтэйн Вью, Калифорнии, США.
3. Symantec (бывший Verisign). Компания приобрела всех своих конкурентов в 2010 г.

4. Thawte (центр основан в 1995 г., в 1999 г. — продан Verisign)
5. Trustwave (на рынке с 1995 г.). Главный офис компании расположился в Чикаго, Иллинойс, США.

Есть ли разница между центрами сертификации?

Основным различием между ЦС можно считать цену самого сертификата и количество браузеров, которое поддерживает их корневой сертификат, поскольку если в браузере пользователя нет сертификата данного центра, то посетитель все равно получит ошибку при входе на сайт. Если же говорить о вышеуказанных центрах, то их корневые сертификаты присутствуют во всех популярных браузерах.

Если же вы хотите проверить данные своего браузера, то нужно проделать следующее (на примере браузера Google Chrome): перейдите во вкладку «Настройки»->»Показать дополнительные настройки»->»Управление сертификатами»->»Доверенные корневые центры сертификации». В данном браузере вы найдете более 50 подобных корневых сертификатов.

Важный момент — у многих клиентов возникала такая проблема: даже при установке SSL сертификата на сервере при посещении сайта через определенный браузер все равно возникала ошибка. Чтобы ее исправить, необходимо проверить файл ca-bundle.crt корневой сертификат (а именно срок его действия); если же он устарел, то нужно попробовать загрузить последнюю версию браузера с обновленными корневыми сертификатами.

Стоит также отметить, что с 2010 г. все ЦС перешли на использование ключей типа 2048bit RSA Keys, поэтому мы рекомендуем вам устанавливать только новые корневые сертификаты для более корректной работы с ними.

Новые корневые сертификаты можно загрузить здесь:

RapidSSL Certificate


GeoTrust SSL Certificates


Thawte SSL Certificates


VeriSign SSL Certificates

Обратите ваше внимание на то, что приобретать сертификаты напрямую у ЦС невыгодно, т.к. они существенно завышают цену для конечных потребителей, нежели для своих партнеров. Наиболее выгодным способом покупки таких сертификатов, как вы уже успели понять, будет их приобретение у партнерских сервисов, поскольку они закупают сертификаты по оптовым ценам и в большом количестве, что позволяет вам немного сэкономить.

Давайте же теперь более детально рассмотрим виды SSL сертификатов.

Виды SSL сертификатов

Между собой сертификаты отличаются уровнем валидации и своими свойствами.

Типы сертификатов по типу валидации:


— сертификаты, подтверждающие только доменное имя (DV — Domain Validation);

— сертификаты, подтверждающие домен и организацию (OV — Organization Validation);

— сертификаты с расширенной проверкой (EV — Extended Validation).


Теперь о каждом виде сертификатов поговорим более детально:

Сертификаты, подтверждающие только доменное имя


Это самый простой вид сертификатов, поскольку они выпускаются автоматически. При проверке такого сертификата вы получаете письмо на электронную почту со ссылкой, по которой нужно перейти для подтверждения выпуска.

Важный момент — это письмо может быть отправлено только на approved email, который был указан непосредственно при заказе самого сертификата. �? к этому адресу применяются определенные требования — он должен находиться на том же домене, для которого вы заказали сертификат или же он должен быть прописан в whois домена.

Если же указанный вами электронный адрес находится в том же домене, что и сертификат, то указывать любой из email-адресов нельзя. Для таких адресов должны быть учтены следующие соответствия:

admin@
administrator@
hostmaster@
postmaster@
webmaster@

Другой важный момент: иногда автоматические сертификаты с моментальным выпуском подвергаются дополнительной проверке ЦС, предварительно выбранные случайным образом. Поэтому есть небольшая вероятность того, что даже самый простой сертификат может быть выпущен не моментально.

Сертификаты SSL с валидацией домена выпускаются тогда, когда ЦС проверил ваши права на указанный домен. Проверка информации о вашей организации в данном случае не проводится.

 

Сертификаты, подтверждающие данные об организации


В сертификате такого типа уже указываются данные об организации. Частное лицо не сможет получить сертификат такого плана. Если говорить о сроках выдачи сертификатов с валидацией организации, то их выпуск составляет от 3 до 10 рабочих дней, в зависимости от выбранного ЦС.

Процесс выдачи сертификатов OV

После получения запроса на выпуск ЦС проводит проверку организации по указанным данным в CSR запросе.

Поскольку различные центры сертификации устанавливают свои требования, предлагаем вам ознакомиться с полным их списком, по которым и будет проводиться проверка вашей организации:


1. Состоит ли организация в международных желтых страницах (Yellow Pages) — не является обязательным пунктом для всех ЦС.

2. Наличие названия организации в whois домена — проверяется всеми ЦС обязательно; в некоторых случаях потребуется проверка данных с помощью так называемого гарантийного письма (если название компании не указано в whois, но домен принадлежит действительно вашей компании) или подтверждение от регистратора домена.
3. Свидетельство о регистрации компании — для Украины возможна проверка по базе ЕДРПОУ; не является обязательным пунктом для всех ЦС.

4. Проверка на валидность вашего телефонного номера — требуется довольно редко.

5. Проверочный звонок — валидность вашего номера телефона проверяется все чаще посредством звонка по указанному номеру в заказе. При контакте попросят к телефону сотрудника, указанного в листе заказа. К тому же, поскольку все компании англоязычные и они зачастую не располагают русскоязычными сотрудниками, будьте готовы к тому, что вам придется общаться и уточнять информацию на английском.

Сертификаты с расширенной проверкой

Этот вид сертификатов является самым дорогим, и получить его, соответственно, также не легко. Такие сертификаты обладают так называемой опцией green bar — это зеленая строка, которая будет видна в браузере при входе на сайт с названием организации, которая получила сертификат.

Где приобрести сертификат ?

Сертификат можно приобрести на нашем сайте в разделе SSL Сертификаты