SSL-cертификаты: что это, для чего нужно и как сгенерировать запрос на подписание сертификата

С началом 2017 года Google практически объявил вне закона сайты, которые используют HTTP-соединение. Не буквально, конечно, но пометить их в Google Chrome как ненадежные пригрозил и уже начал воплощать свои угрозы в жизнь. Поэтому те владельцы сайтов, которым важны посещения и рейтинг, серьезно обеспокоились получением сертификатов. И мы уже прочувствовали это в полной мере – количество обращений по вопросам приобретения сертификатов и настройке HTTPS-соединений за последние пару месяцев существенно возросло. Для тех, кто еще не успел разобраться с переходом на SSL-сертификат, мы подготовили небольшой обзор темы, чтобы вы могли детальнее узнать о всех тонкостях такого перехода.

 

Что такое SSL?

 

SSL (secure socket layer – уровень защищенных сокетов) – это одна из интернет-технологий безопасной связи, которая защищает соединения между веб-сервисом (сайтом) и браузером.

 

SSL-сертификат - это цифровое удостоверение сайта. Оно подтверждает, что вся информация, передаваемая между сайтом и клиентскими программами, зашифрована и передается по защищенному каналу.

 

Использование SSL-сертификата гарантирует посетителю сайта:

• Подлинность данных. SSL подтверждает, что пользователь получает данные с домена, на котором размещен сайт компании.
• Конфиденциальность. SSL-шифрование защищает данные от перехвата в момент передачи.
• Целостность информации. SSL-соединение помогает избежать искажения данных при передаче.

 

Где используют SSL-сертификаты?

 

Как уже было сказано, SSL применяют для защиты транзакций и персональной информации. Поэтому чаще всего SSL-сертификаты используют:

• банки;
• платежные системы;
• интернет-магазины;
• почтовые сервисы;
• производители ПО.

 

Кроме того, даже обычные сайты, хранящие личные данные пользователей, все чаще прибегают к SSL-сертификатам, тем самым повышая уровень доверия со стороны своих посетителей.

 

Что такое самоподписанный сертификат?

 

Самый простой и к тому же бесплатный способ перейти на HTTPS – использовать самоподписанный сертификат (self-signed). Его можно сгенерировать сразу на веб-сервере. Во всех популярных панелях управления хостингом (Cpanel, ISPmanager, Directadmin) эта возможность доступна по умолчанию. Главный минус такого сертификата – браузеры будут выдавать предупреждение о том, что сайт не проверен. Для внутреннего пользования это не проблема, а вот клиентов публичных сайтов такой момент наверняка спугнет.

 

 

SSL-сертификаты для коммерческого использования

 

Существует несколько типов SSL-сертификатов:

 

SSL-сертификаты с проверкой домена (Domain Validation) подойдут для небольших сайтов и проектов, где ничего не продается, но есть форма регистрации посетителей. Чтобы использовать такой сертификат, не требуется специальных документов. Оформить его можно даже в течение часа, а владеть таким сертификатом может каждый: физлицо, частный предприниматель или компания. Нужно лишь подтвердить владение доменом. Сделать это можно в один из следующих способов:

• Через email (DCV Email). На электронный адрес, указанный в Whois домена, придет письмо со ссылкой подтверждения. Также это письмо может прийти на один из адресов: admin@, administrator@, hostmaster@, postmaster@, webmaster@ указанного сайта.
• При помощи DNS-записи (DNS CNAME). Если почта в Whois закрыта приватной регистрацией, нужно создать особую запись в DNS, и центр сертификации его проверит.
• При помощи хеш-файла (HTTP CSR Hash). В этом случае пользователь получит специальный .txt файл, который нужно загрузить на свой сервер.

 

SSL-сертификаты с проверкой компании (Business Validatoin) подойдут компаниям, которые заинтересованы в более высоком уровне проверки: интернет-магазинам, почтовым сервисам и т.д. Для получения такого сертификата нужно выслать в центр сертификации документы компании и пройти процедуру «отзвона» на корпоративный телефон.

 

SSL-сертификаты с расширенной проверкой (Extended Validation) используют банки и платежные системы с большим количеством клиентов. При использовании таких сертификатов в адресной строке браузера появляется характерная зеленая строка (замочек). Это можно использовать и в маркетинговых целях. Пользователи привыкли видеть зеленую адресную строку при использовании интернет-банкинга и платежных систем. Наверняка, их приятно порадует то, что на вашем сайте их данные защищены с такой же надежностью.

 

 

SSL-сертификаты с поддержкой субдоменов (Wildcard) могут защитить любое количество субдоменов на неограниченном количестве серверов.

 

SAN SSL-сертификаты работают с внешними и внутренними доменными именами и способны защитить большое количество доменов, субдоменов, локальных доменов и серверов.

 

SSL-сертификаты для ПО (CodeSigning SSL) отлично подойдут разработчикам ПО. Такие сертификаты помогут, когда пользователи получают предупреждения и ошибки при скачивании программного кода.

 

Как получить SSL-сертификат?

 

Порядок действий при получении SSL-сертификата следующий:

 

1. Подготовьте данные для проверки.

 

Как подтверждать домен при получении Domain Validation SSL, мы уже разобрались. Для покупки сертификата более продвинутых типов заранее подготовьте цветные сканы таких документов:

• Свидетельство о внесении в Единый государственный реестр юридических лиц и ФЛП;
• любой документ, подтверждающий реальное существование вашей компании.

 

2. Сгенерируйте CSR.

 

CSR (Certificate Signing Request) или запрос на подписание сертификата – это блок закодированного текста, который генерируется на том сервере, где будет использоваться сертификат. Он содержит в себе информацию, которая будет включена в ваш сертификат: название организации, доменное имя, юридический адрес и страну. Также в CSR содержится открытый ключ, который будет включен в ваш сертификат.

 

Давайте рассмотрим пример заполнения полей при генерации CSR.

 

Параметры	Значение	Пример
Common Name	Полное имя домена (для Wildcard имя домена должно начинаться с «*.»)	www.mydomain.ua(для WildCard –   *.mydomain.ua)
Country Name	Двухбуквенный код страны	UA
State or Province Name	Наименование области, в которой зарегистрирована организация	Kyivska Oblast
Locality Name	Название населенного пункта	Kyiv
Organization Name	Полное название организации по Уставу или ФИО физлица	MyOrganization
Organizational Unit Name	Наименование отдела, который приобретает сертификат (не обязательно)	IT
Email	Электронный адрес для входа	admin@myorganization.ua

Важно!

Все названия должны быть написаны на английском языке без использования сокращений.

 

В сети есть много онлайн-ресурсов, где можно сгенерировать CSR. Мы, как правило, используем для этих целей одну из самых распространенных утилит для генерации запросов на сертификат и закрытых ключей – OpenSSL.

При работе с OpenSSL используйте следующие команды:

Генерация закрытого ключа:

$ openssl genrsa -out mydomain.ua.key 2048

Генерация CSR:

$ openssl req -new -key mydomain.ua.key -out mydomain.ua.csr

Совет!

Если вам нужно только обновить сертификат, можете не генерировать новый закрытый ключ, а использовать старый. При этом новый CSR нужно сгенерировать даже при обновлении SSL-сертификата.

 

3. Отправьте заказ на получение сертификата.

 

Далее отправьте письмо в Сертификационный центр или компанию, у которой покупаете сертификат. Укажите в нем тип сертификата, который хотите получить, срок его действия и физический адрес своей компании. Прикрепите к письму:

• CSR в текстовом виде;
• цветной скан документов из пункта 1.

 

4. Оплатите полученный счет.

 

Сертификационный центр или компания, у которой вы покупаете сертификат, в ответ вышлет вам счет. Оплатите его. Через несколько дней после оплаты вы получите готовый SSL-сертификат. Мы продаем сертификаты на срок от 1 до 3 лет – от выбранного срока зависит стоимость. Чем больше оплачиваемый срок, тем ниже цена за год.

 

5. Установите сертификат.

 

Получив сертификат, войдите в настройки управления своим сайтом и перейдите в раздел «Настройка SSL». Во вкладке «Установка сертификата» заполните все необходимые поля и сохраните изменения. После этого ваш сайт будет использовать HTTPS-соединение. Если у вас возникли трудности на этом этапе, обращайтесь к нам. Наши специалисты без проблем установят ваш сертификат. Как правило, это занимает не больше одного часа.

 

Продление сертификата

 

За 90 дней до окончания действия SSL-сертификата вы можете продлить его. Все неизрасходованные дни при этом автоматически перенесутся в новый сертификат. Процедура продления отличается от покупки нового сертификата тем, что не требует повторного подтверждения данных. Просто заново сгенерируйте CSR и свяжитесь с компанией, у которой покупали сертификат.

 

Выводы

 

Количество похищенных персональных данных растет с каждым днем, поэтому Google принял защитные меры. Тут уж хочешь не хочешь, а перейти на HTTPS придется. Если, конечно, важны посещения, продажи и позиции сайта в поиске. Самый простой вариант – получить SSL-сертификат. И сами лишний раз обезопаситесь, и клиенты будут спокойны. Надеемся, наша статья многое прояснила в деле перехода на HTTPS-соединение. Как видите, это совсем не высшая математика. А мы всегда готовы помочь, если остались вопросы или нужен сертификат. Обращайтесь за грамотной консультацией 24/7.