1.3.8 SSL-сертифікати та методи їх активації
Що таке SSL-сертифікат і навіщо він потрібен
При використанні інтернету Ви напевно стикалися з помилкою наступного виду:
Ця та подібні помилки виду “Підключення не захищено” пов’язані з тим, що Ви спробували відкрити сайт за захищеним протоколом HTTPS замість незахищеної версії HTTP, і при цьому до вказаного сайту зараз не підключено діючого SSL-сертифіката.
Що ж таке HTTPS та SSL? Чому браузери застерігають від відвідування таких сайтів? Що взагалі означає напис “Підключення не захищене”? Нижче ми розповімо про це простими словами.
Справа в тому, що за умовчанням Ваші дані передаються через Інтернет у незашифрованому вигляді (протокол HTTP). Це означає, що будь-хто, хто має доступ до мережі, може перехопити та прочитати Вашу конфіденційну інформацію, таку як логіни, паролі, номери кредитних карток тощо. Це серйозна загроза безпеці, особливо у світі, де онлайн-транзакції та обмін чутливими даними стають дедалі більш поширеними.
Саме щоб захистити обмін даними між Вашим браузером та віддаленим сайтом, було створено протокол SSL (Secure Sockets Layer) та його сучасний варіант TLS (Transport Layer Security). Вони використовують криптографію з відкритим ключем для шифрування даних, що передаються між клієнтом та сервером, що робить їх непридатними для перехоплення та читання зловмисниками.
Яку роль у цьому відіграють SSL-сертифікати?
SSL-сертифікат це, грубо кажучи, цифрове посвідчення, що видається веб-сайтам центрами, що засвідчують (Certification Authority). Він підтверджує, що сайт є довіреним та безпечним для користувачів. Коли ви відвідуєте сайт за адресою https://, ваш браузер перевіряє наявність SSL-сертифікат. Якщо сертифікат є дійсним і відповідає домену, Ваш браузер встановлює зашифроване з’єднання з сервером сайту. Якщо сертифікат недійсний - Ви побачите помилку, яку Ви вже знайомі.
Додатково: як працює SSL/TLS на технічному рівні?
Коли ви надсилаєте запит на захищений по HTTPS веб-сайт, сервер у відповідь відправляє свій SSL-сертифікат, який включає відкритий ключ для шифрування даних. Ваш браузер потім перевіряє цей сертифікат, упевняючись у його справжності і тому, що він був виданий довіреним центром, що засвідчує.
Після успішної перевірки Ваш браузер створює секретний сеансний ключ, який використовуватиметься для шифрування даних під час поточної взаємодії із сервером. Цей ключ зашифровується з використанням відкритого ключа сервера та відправляється назад на сервер.
Тепер і клієнт, і сервер мають спільний секретний ключ для шифрування та розшифрування даних під час сеансу. Це забезпечує конфіденційність інформації, що передається.
Крім того, SSL/TLS забезпечує цілісність даних, додаючи до них цифровий підпис, який дозволяє перевірити, чи дані не були змінені в процесі передачі.
Необхідні кроки для підключення SSL до сайту
На жаль, просто замовити та оплатити SSL недостатньо для автоматичної активації протоколу HTTPS на Вашому сайті. Зараз ми розглянемо весь алгоритм дій, який необхідно здійснити для підключення SSL:
1. Підбір, замовлення та оплата необхідного Вам сертифікату. У нас існує детальна покрокова інструкція на цю тему. Сам вибір можна здійснити на нашому сайті.
2. Проходження валідації. Валідація - обов’язкова процедура та умова для випуску SSL-сертифіката. Їх буває кілька різних рівнів, базовий та найпоширеніший з яких це Перевірка домену. Усі види валідації ми розглянемо нижче, у цій статті. Тільки після успішної валідації Ви зможете отримати файли сертифіката на контактну пошту та перейти до його встановлення та підключення.
3. Встановлення та підключення. Файли сертифіката, надіслані Вам на пошту та секретний ключ, який Вам повідомляли під час замовлення, потрібно використовувати разом для встановлення та підключення сертифіката до сайту. У нас є окрема, покрокова інструкція на тему як зробити установку на нашому хостингу або на будь-якій іншій послузі з панеллю керування ISPManager4.
Тип валідації сертифіката залежить від самого сертифіката та вказаний у списку доступних SSL на нашому сайті . Існує три основні типи, про кожен з яких ми детально розповімо нижче.
Важливо: валідація є обов’язковою процедурою та вимогою безпеки для будь-якого типу комерційного SSL. Процедура валідації повинна знову виконуватися для кожної нової ітерації сертифіката (щороку), навіть якщо сертифікат був замовлений та сплачений на кілька років наперед.
SSL-сертифікат з перевіркою домену (Domain Validation SSL)
Сертифікат SSL з перевіркою домену має найпростішу та найшвидшу валідацію. Суть процедури полягає у підтвердженні Вами права володіння доменом, для якого Ви замовили Ваш SSL-сертифікат. Доступні такі сертифікати для всіх підприємств, індивідуальних підприємців та фізичних осіб.
Для активації не потрібно надавати жодних документів, достатньо пройти перевірку за допомогою одного із кількох запропонованих методів:
1. Електронна пошта
Найпростіший та найшвидший метод проходження валідації, який також встановлено за замовчуванням для всіх нових SSL.
Центр сертифікації надішле Вам лист на одну з п’яти запропонованих поштових адрес: admin@вашдомен
, administrator@вашдомен
, hostmaster@вашдомен
, webmaster@вашдомен
або postmaster@вашдомен
. У листі міститься електронний код для проходження перевірки та посилання на сайт, де цей код необхідно ввести для проходження валідації. Якщо зазначених поштових скриньок не існувало на момент замовлення –- не біда. Просто зверніться до Служби підтримки із запитом повторно переслати валідацонний лист на тільки що створену Вами поштову скриньку.
Для логіну можете використовувати будь-який зручний клієнт, включаючи наш вбудований. Після успішного входу, Ви знайдете лист з темою виду Domain Control Validation for Order #номер_замовлення
. Сам лист виглядає так:
Далі необхідно скопіювати код перевірки і натиснути кнопку Complete Domain Control Validation. Вас перенаправить на сайт сертифікаційного центру, де код перевірки необхідно вставити у форму і натиснути NEXT>:
Якщо введений код вірний, валідацію буде пройдено успішно.
2. Перевірочний файл
В рамках Вашого запиту про зміну методу валідації, наша Служба підтримки надасть Вам текстовий файл та адресу, за якою його необхідно розмістити. Ця адреса буде на базі Вашого домену, наприклад: https://вашдомен.com/.well-known/pki-validation/C65DB93022457938F7123ASDF35E11B.txt
. Текстовий файл .txt
містить хеш, витягнутий із Вашого коду CSR. Цей файл має бути доступним публічно по HTTP/HTTPS для зчитування з боку сертифікаційного центру.
3. CNAME DNS-запис
В рамках Вашого запиту про зміну методу валідації, наша Служба підтримки надасть Вам DNS-запис типу CNAME, який буде необхідно створити для Вашого домену. Цей метод зазвичай займає найдовше часу, тому ми рекомендуємо вдаватися до нього тільки при труднощі з попередніми двома.
Важливо: підтвердження за допомогою електронної пошти завжди встановлено за замовчуванням для кожного нового замовлення. Це означає, що для зміни методу валідації на альтернативний Вам знадобиться звернутися до нашої Служби підтримки для подальших інструкцій.
Що таке Brand Validation?
Центри сертифікації можуть вимагати ручної перевірки, якщо замовлення підпало під так звану Brand Validation - перевірку бренду. Є кілька причин, чому замовлення може бути відхилено під час ручної перевірки:
- Замовлення з наступних країн: Південна Корея, Північна Корея, Судан, Афганістан, Іран чи Ірак.
- Цільове доменне ім’я включає відомий бренд: такі як
sony-shop.net
,dellshop.com
абоfacebook.com.ua
. Наприклад, доменsibmama.com.ua
може потрапити під перевірку бренду через частину адресиibm
, через співзвучність із всесвітньо відомою торговою маркою [IBM] (https://www.ibm.com/us-en ){target=“_blank”}. - Ім’я домену має “стоп-слова”, асоційовані з кібер-злочинністю. Наприклад: pay, online, secure, booking, shop, bank, transfer, money, e-payment, payment, protection, violence, та інші.
На щастя, необхідність ручної перевірки Brand Validation виникає дуже рідко і ранішеописаний приклад домену sibmama.com.ua
є скоріше винятком, ніж правилом.
SSL-сертифікати з перевіркою організації (Organization Validation SSL)
Сертифікат SSL з верифікацією організації доступні для замовлення лише юридичним особам. Процес займає близько 2-5 робочих днів, якщо всі документи були надані вчасно.
Процес перевірки організації включає такі етапи:
1. Перевірка домену. Повністю аналогічна першому описаному вище рівню валідації.
2. Перевірка компанії. Перевірку організації, можливо, знадобиться надати деякі офіційні документи центру сертифікації. Здебільшого вони вимагають ліцензію/установчі/статутні документи організації. Ви можете надіслати їх факсом або електронною поштою у форматі PDF/JPG. Реальне існування організації перевіряється через відкриті державні реєстри, використовуючи назву компанії або унікальний ідентифікаційний номер. Компанія також може бути перевірена за допомогою загальнодоступних електронних каталогів, таких як Duns & Bradstreet , Hoovers, Companies House GOV.UK, Lursoft.lv і т.д. .д.
Знайти унікальний номер компанії Duns & Bradstreet можна на сайті, вказавши англійську транслітерацію української назви компанії (не переклад, а саме транслітерацію).
Адреса компанії може бути перевірена за допомогою одного з документів:
- статут компанії (із зазначенням адреси);
- державна ліцензія на підприємницьку діяльність (із зазначенням адреси);
- копія нещодавньої виписки з банківського рахунку компанії;
- копія останнього телефонного рахунку;
- Копія останнього великого рахунку за комунальні послуги компанії (рахунок за воду, електрику тощо) або чинний договір оренди для компанії;
Обов’язково наявність у виведенні whois домену назви організації, ім’я якої має збігатися з назвою в єдиному державному реєстрі юридичних осіб.
3. Перевірочний дзвінок. Постачальник послуг SSL здійснює дзвінок на номер телефону, зазначений у міжнародній базі організацій Dun & Bradstreet (для валідації номера телефону та адреси компанії можна також використовувати ресурси Kompass.com та Infobell) та просять користувача, який вказано в адміністративному контакті доменного імені. Необхідно, щоб ця людина знала номер замовлення, наданий Центром сертифікації і міг підтвердити англійською своє замовлення.
При випуску OV сертифіката для підтвердження замовлення по телефону клієнту на технічну контактну адресу буде надіслано листа, де буде вказано посилання на перехід на портал постачальника послуг Comodo. Необхідно буде перейти за вказаним посиланням та натиснути кнопку Call Me Now, після цього Ви отримаєте 6-значний код на контактний номер. Необхідно буде ввести код на порталі постачальника і натиснути Submit для завершення процедури верифікації.
Важливо: У всіх документах, інформаційних джерелах, CSR, і WHOIS домену назва компанії та контактні дані про неї повинні повністю збігатися!
Для прискорення та спрощення процесу випуску сертифікату ми рекомендуємо зареєструвати для компанії DUNS-номер. DUNS є своєрідним електронним паспортом юридичної особи. Ця умова не є обов’язковою і не надає жодних гарантій випуску SSL, проте наявність номера DUNS спрощує процес перевірки Центром сертифікації.
Для зміни номера телефону або назви компанії (якщо Ваші дані не співпадають з базою Dun & Bradstreet) необхідно звернутись до представництва цієї організації в Україні.
SSL-сертифікати з розширеною перевіркою (Extended Validation SSL)
SSL з розширеною перевіркою є найбільш надійними та перевіреними продуктами. Перевірка займає близько 4-7 робочих днів у разі, якщо всі документи правильно та вчасно оформлені, тому замовляти та перевипускати такий сертифікат необхідно заздалегідь.
Фактично процедура валідації Extended Validation SSL несуттєво відрізняється від Organization Validation SSL, описаної раніше.
Головна відмінність полягає в необхідності заповнення та надсилання сертифікаційному центру двох форм, які доступні за адресою.
Приклади вже заповнених форм першої та другий.
Після заповнення необхідно відправити скан-копії на адресу docs@sectigo.com
із зазначенням у темі листа номера замовлення в центрі сертифікації. Номер замовлення фігурує в листах від Sectigo/Comodo, уточнити його Ви також можете у Служби підтримки Іноді сертифікаційний центр вимагає завірити нотаріально заповнені форми. Інші постачальники послуг SSL (наприклад, Geotrust або RapidSSL) надсилають усі необхідні форми для заповнення на контактну поштову адресу Вашого домену.
Наступні етапи валідації аналогічні вже описаним раніше:
1. Перевірка домену. Яка вже була описана вище.
2. Перевірка організації. Яка вже була описана вище.
3. Зворотний дзвінок. Який вже був описаний вище, в 3-му пункті щодо валідації з перевіркою організації.