SSL-cертифікати: що це, для чого потрібно та як згенерувати запит на підписання сертифіката
- Головна
- Блог
- Техпідтримка
- SSL-cертифікати: що це, для чого потрібно та як згенерувати запит на підписання сертифіката
З початком 2017 року Google практично оголосив поза законом сайти, які використовують HTTP-з'єднання. Не буквально, звичайно, але позначити їх в Google Chrome як ненадійні пригрозив і вже почав втілювати свої погрози в життя. Тому ті власники сайтів, яким важливі відвідування і рейтинг, серйозно занепокоїлися отриманням сертифікатів. І ми вже відчули це сповна — кількість звернень з питань придбання сертифікатів та налаштування HTTPS-з'єднань за останні пару місяців істотно зросла. Для тих, хто ще не встиг розібратися з переходом на SSL-сертифікат, ми підготували невеликий огляд теми, щоб ви могли детальніше дізнатися про всі тонкощі такого переходу.
Що таке SSL?
SSL (secure socket layer — рівень захищених сокетів) — одна з інтернет-технологій безпечного зв'язку, яка захищає з'єднання між вебсервісом (сайтом) та браузером.
SSL-сертифікат — це цифрове посвідчення сайту. Воно підтверджує, що вся інформація, що передається між сайтом і клієнтськими програмами, зашифрована та передається захищеними каналами.
Використання SSL-сертифіката гарантує відвідувачеві сайту:
- Справжність даних. SSL підтверджує, що користувач отримує дані з домену, на якому розміщений сайт компанії.
- Конфіденційність. SSL-шифрування захищає дані від перехоплення в момент передачі.
- Цілісність інформації. SSL-з'єднання допомагає уникнути спотворення даних при передачі.
Де використовують SSL-сертифікати?
Як вже було сказано, SSL застосовують для захисту транзакцій та персональної інформації. Тому найчастіше SSL-сертифікати використовують:
- банки;
- платіжні системи;
- інтернет-магазини;
- поштові сервіси;
- виробники ПЗ.
Крім того, навіть звичайні сайти, що зберігають особисті дані користувачів, все частіше вдаються до SSL-сертифікатів, тим самим підвищуючи рівень довіри з боку своїх відвідувачів.
Що таке самопідписаний сертифікат?
Найпростіший і до того ж безкоштовний спосіб перейти на HTTPS — використовувати самоподпісаний сертифікат (self-signed). Його можна згенерувати одразу на вебсервері. У всіх популярних панелях керування хостингом (Cpanel, ISPmanager, Directadmin) ця можливість доступна за замовчуванням. Головний мінус такого сертифіката — браузери будуть видавати попередження про те, що сайт не перевірений. Для внутрішнього користування це не проблема, а ось клієнтів публічних сайтів такий момент напевно злякає.
SSL-сертифікати для комерційного використання
Існує декілька типів SSL-сертифікатів:
SSL-сертифікати з перевіркою домену (Domain Validation) підійдуть для невеликих сайтів і проєктів, де нічого не продається, але є форма реєстрації відвідувачів. Щоб використовувати такий сертифікат, не потрібно спеціальних документів. Оформити його можна навіть впродовж години, а володіти таким сертифікатом може кожен: фізособа, приватний підприємець або компанія. Потрібно лише підтвердити володіння доменом. Зробити це можна в один із таких способів:
- Через email (DCV Email). На електронну адресу, вказану у Whois домену, надійде лист з посиланням підтвердження. Також цей лист може надійти на одну з адрес: admin@, administrator@, hostmaster@, postmaster@, webmaster@ вказаного сайту.
- За допомогою DNS-запису (DNS CNAME). Якщо пошта у Whois закрита приватною реєстрацією, потрібно створити особливий запис в DNS, і центр сертифікації його перевірить.
- За допомогою хеш-файлу (HTTP CSR Hash). У цьому разі користувач отримає спеціальний .txt файл, який потрібно завантажити на свій сервер.
SSL-сертифікати з перевіркою компанії (Business Validatoin) підійдуть компаніям, які зацікавлені в більш високому рівні перевірки: інтернет-магазинам, поштовим сервісам тощо. Для отримання такого сертифіката потрібно вислати до центру сертифікації документи компанії та пройти процедуру «віддзвону» на корпоративний телефон.
SSL-сертифікати з розширеною перевіркою (Extended Validation) використовують банки та платіжні системи з великою кількістю клієнтів. При використанні таких сертифікатів в адресному рядку браузера з'являється характерний зелений рядок (замочок). Це можна використовувати і в маркетингових цілях. Користувачі звикли бачити зелений адресний рядок при використанні інтернет-банкінгу та платіжних систем. Напевно, їх приємно порадує те, що на вашому сайті їх дані захищені з такою ж надійністю.
SSL-сертифікати з підтримкою субдоменів (Wildcard) можуть захистити будь-яку кількість субдоменів на необмеженій кількості серверів.
SAN SSL-сертифікати працюють із зовнішніми та внутрішніми доменними іменами і здатні захистити велику кількість доменів, субдоменів, локальних доменів і серверів.
SSL-сертифікати для ПЗ (CodeSigning SSL) відмінно підійдуть розробникам ПЗ. Такі сертифікати допоможуть, коли користувачі отримують попередження та помилки при завантаженні програмного коду.
Як отримати SSL-сертифікат?
Порядок дій при отриманні SSL-сертифіката такий:
1. Підготуйте дані для перевірки.
Як підтверджувати домен при отриманні Domain Validation SSL, ми вже розібралися. Для купівлі сертифіката більш просунутих типів заздалегідь підготуйте кольорові скани таких документів:
- Свідоцтво про внесення до Єдиного державного реєстру юридичних осіб та ФОП;
- будь-який документ, що підтверджує реальне існування вашої компанії.
2. Згенеруйте CSR.
CSR (Certificate Signing Request) або запит на підписання сертифіката — це блок закодованого тексту, який генерується на тому сервері, де буде використовуватися сертифікат. Він містить у собі інформацію, яка буде включена до вашого сертифіката: назва організації, доменне ім'я, юридичну адресу та країна. Також в CSR міститься відкритий ключ, який буде включено до вашого сертифіката.
Давайте розглянемо приклад заповнення полів при генерації CSR.
Параметри | Значення | Приклад |
Common Name | Повне ім'я домену (для Wildcard ім'я домену має починатися з «*.») | www.mydomain.ua(для WildCard –
*.mydomain.ua) |
Country Name | Двобуквений код країни | UA |
State or Province Name | Найменування області, в якій зареєстрована організація | Kyivska Oblast |
Locality Name | Назва населеного пункту | Kyiv |
Organization Name | Повна назва організації за Статутом або ПІБ фізособи | MyOrganization |
Organizational Unit Name | Найменування відділу, який придбає сертифікат (не обов'язково) | IT |
Електронна адреса для входу | admin@myorganization.ua |
Важливо!
Усі назви мають бути написані англійською мовою без використання скорочень.
У мережі є багато онлайн-ресурсів, де можна згенерувати CSR. Ми, як правило, використовуємо для цих цілей одну з найпоширеніших утиліт для генерації запитів на сертифікат і закритих ключів — OpenSSL.
При роботі з OpenSSL використовуйте наступні команди:
Генерація закритого ключа:
$ openssl genrsa -out mydomain.ua.key 2048
Генерація CSR:
$ openssl req -new -key mydomain.ua.key -out mydomain.ua.csr
Порада!
Якщо вам потрібно лише оновити сертифікат, можете не генерувати новий закритий ключ, а використовувати старий. При цьому новий CSR потрібно згенерувати навіть при оновленні SSL-сертифіката.
3. Надішліть замовлення на отримання сертифіката.
Далі надішліть листа до Сертифікаційного центру або компанії, у якої купуєте сертифікат. Вкажіть у ньому тип сертифіката, який бажаєте отримати, термін його дії та фізичну адресу своєї компанії. Прикріпіть до листа:
- CSR у текстовому вигляді;
- кольоровий скан документів з пункту 1.
4. Оплатіть отриманий рахунок.
Сертифікаційний центр або компанія, у якій ви купуєте сертифікат, у відповідь надішле вам рахунок. Оплатіть його. Через декілька днів після оплати ви отримаєте готовий SSL-сертифікат. Ми продаємо сертифікати на термін від 1 до 3 років — від обраного терміну залежить вартість. Чим більше оплачуваний термін, тим нижче ціна за рік.
5. Встановіть сертифікат.
Отримавши сертифікат, увійдіть в налаштування керування своїм сайтом і перейдіть в розділ «Налаштування SSL». У вкладці «Встановлення сертифіката» заповніть всі необхідні поля і збережіть зміни. Після цього ваш сайт буде використовувати HTTPS-з'єднання. Якщо у вас виникли труднощі на цьому етапі, звертайтеся до нас. Наші фахівці без проблем встановлять ваш сертифікат. Як правило, це займає не більше однієї години.
Продовження сертифіката
За 90 днів до закінчення дії SSL-сертифіката ви можете продовжити його. Усе невитрачені дні при цьому автоматично перенесуться в новий сертифікат. Процедура продовження відрізняється від купівлі нового сертифіката тим, що не потребує повторного підтвердження даних. Просто заново згенеруйте CSR та зв'яжіться з компанією, у якої купували сертифікат.
Висновки
Кількість викрадених персональних даних зростає з кожним днем, тому Google вжив захисних заходів. Тут вже хочеш не хочеш, а перейти на HTTPS доведеться. Якщо, звичайно, важливі відвідування, продажі та позиції сайту в пошуку. Найпростіший варіант — отримати SSL-сертифікат. І самі зайвий раз убезпечитесь, і клієнти будуть спокійні. Сподіваємося, наша стаття багато що прояснила у справі переходу на HTTPS-з'єднання. Як бачите, це зовсім не вища математика. А ми завжди готові допомогти, якщо залишилися питання або потрібен сертифікат. Звертайтеся за грамотною консультацією 24×7.