1.3.8 SSL-сертификаты и методы их активации

SSL Security

Что такое SSL-сертификат и зачем он нужен

При использовании интернета, Вы наверняка сталкивались с ошибкой следующего вида:

Ошибка Подключение не защищено на сайте без SSL

Эта и подобные ошибки вида “Подключение не защищено” связанные с тем, что Вы попытались открыть сайт по защищенному протоколу HTTPS вместо незащищенной версии HTTP, и при этом, к указанному сайту сейчас не подключен действующий SSL-сертификат.

Что же такое HTTPS и SSL? Почему браузеры предостерегают от посещения таких сайтов? Что вообще значит надпись “Подключение не защищено”? Сейчас мы расскажем об этом простыми словами.

Дело в том, что по умолчанию Ваши данные передаются через Интернет в незашифрованном виде (протокол HTTP). Это значит, что любой, кто имеет доступ к сети, потенциально может перехватить и прочитать Вашу конфиденциальную информацию, такую как логины, пароли, номера кредитных карт и т. д. Это серьезная угроза безопасности, особенно в мире, где онлайн-транзакции и обмен чувствительными данными становятся все более распространенными.

Именно чтобы защитить обмен данными между Вашим браузером и удаленным сайтом, был создан протокол SSL (Secure Sockets Layer) и его современный вариант TLS (Transport Layer Security). Они используют криптографию с открытым ключом для шифрования данных, передаваемых между клиентом и сервером, что делает их непригодными для перехвата и чтения злоумышленниками.

Какая роль в этом отведена SSL-сертификатам?

SSL-сертификат это, грубо говоря, цифровое удостоверение, выдаваемое веб-сайтам удостоверяющими центрами (Certification Authority). Он подтверждает, что сайт является доверенным и безопасным для пользователей. Когда вы посещаете сайт по адресу https://, ваш браузер проверяет наличие сертификата. Если сертификат действителен и соответствует домену, Ваш браузер устанавливает зашифрованное соединение с сервером сайта. Если сертификат недействителен – Вы увидите уже знакомую Вам ошибку.

Дополнительно: как работает SSL/TLS на техническом уровне?

Когда вы отправляете запрос на защищенный по HTTPS веб-сайт, сервер в ответ отправляет свой SSL-сертификат, который включает в себя открытый ключ для шифрования данных. Ваш браузер затем проверяет этот сертификат, удостоверяясь в его подлинности и том, что он был выдан доверенным удостоверяющим центром.

После успешной проверки Ваш браузер создает секретный сеансный ключ, который будет использоваться для шифрования данных во время текущего взаимодействия с сервером. Этот ключ зашифровывается с использованием открытого ключа сервера и отправляется обратно на сервер.

Теперь и клиент, и сервер обладают общим секретным ключом для шифрования и расшифровки данных во время сеанса. Это обеспечивает конфиденциальность передаваемой информации.

Кроме того, SSL/TLS обеспечивает целостность данных, добавляя к ним цифровую подпись, которая позволяет проверить, не были ли данные изменены в процессе передачи.

Необходимые шаги для подключения SSL к сайту

К сожалению, просто заказать и оплатить SSL недостаточно для автоматической активации HTTPS-протокола на Вашем сайте. Сейчас мы рассмотрим весь алгоритм действий, который необходимо осуществить для подключения SSL:

1. Подбор, заказ и оплата необходимого Вам сертификата. У нас существует подробная пошаговая инструкция на эту тему. Сам выбор можно осуществить на нашем сайте.

2. Прохождение валидации. Валидация – обязательная процедура и условие для выпуска SSL-сертификата. Их бывает несколько разных уровней, базовый и самый распространенный из которых это Проверка домена. Все виды валидации мы рассмотрим ниже, в этой же статье. Только после успешной валидации Вы сможете получить файлы сертификата на контактную почту и перейти к его установке и подключению.

3. Установка и подключение. Файлы сертификата, присланные Вам на почту и секретный ключ, который Вам сообщали при заказе нужно использовать вместе для установки и подключения сертификата к сайту. У нас есть отдельная, пошаговая инструкция на тему как выполнить установку на нашем хостинге или на любой другой услуге с панелью управления ISPManager4.

Тип валидации сертификата зависит от самого сертификата и указан в списке доступных SSL на нашем сайте. Существует три основных типа, про каждый из которых мы детально раскажем прямо сейчас.

Важно: валидация является обязательной процедурой и требованием безопасности для любого типа коммерческого SSL. Процедура валидации должна вновь выполняться для каждой новой итерации сертификата (каждый год), даже если сертификат был заказан и оплачен на несколько лет вперед.

SSL-сертификат с проверкой домена (Domain Validation SSL)

Сертификат SSL с проверкой домена имеет самую простую и быструю валидацию. Суть процедуры заключается в подтверждении Вами права владением доменом, для которого Вы и заказали Ваш SSL-сертификат. Доступны такие сертификаты для всех: предприятий, индивидуальных предпринимателей и физических лиц.

Для активации не нужно предоставлять никаких документов, достаточно пройти проверку с помощью одного из нескольких предложенных методов:

1. Электронная почта

Самый простой и быстрый метод прохождения валидации, который также установлен по умолчанию для всех новых SSL.

Центр сертификации вышлет Вам письмо на один из пяти предложенных почтовых адресов: admin@вашдомен, administrator@вашдомен, hostmaster@вашдомен, webmaster@вашдомен или postmaster@вашдомен. В письме содержится электронный код для прохожления проверки и ссылка на сайт, где этот код необходимо ввести для прохождения валидации. Если указанных почтовых ящиков не существовало на момент заказа – не беда. Просто обратитесь в Службу поддержки с запросом повторно переслать валидацонное письмо на созданный Вами адрес почты.

Для логина можете использовать любой удобный клиент, включая наш встроенный. После успешного входа, Вы обнаружите письмо с темой вида Domain Control Validation for Order #номер_заказа. Само письмо выглядит следующим образом:

Валидационное письмо

Далее необходимо скопировать проверочный код и нажать кнопку Complete Domain Control Validation. Вас перенаправит на сайт сертификационного центра, где проверочный код необходимо вставить в форму и нажать NEXT>:

Ввод проверочного кода на сайте CA

Если введенный код верный, валидация будет пройдена успешно.

2. Проверочный файл

В рамках Вашего запроса о смене метода валидации, наша Служба поддержки предоставит Вам текстовый файл и адрес, по которому его необходимо разместить. Этот адрес будет на базе Вашего домена, например: https://вашдомен.com/.well-known/pki-validation/C65DB93022457938F7123ASDF35E11B.txt. Текстовый файл .txt содержит хэш, извлеченный из Вашего кода CSR. Этот файл должен быть доступен публично по HTTP/HTTPS для считывания со стороны сертификационного центра.

3. CNAME DNS-запись

В рамках Вашего запроса о смене метода валидации, наша Служба поддержки предоставит Вам DNS-запись типа CNAME, которую будет необходимо создать для Вашего домена. Этот метод обычно занимает дольше всего времени, поэтому мы рекоммендуем прибегать к нему только при затруднений с предыдущими двумя.

Важно: подтверждение с помощь электронной почты всегда установлено по умолчанию для каждого нового заказа. Это значит, что для смены метода валидации на альтернативный, Вам понадобится обратиться в нашу Службу поддержки для дальнейших инструкций.

Что такое Brand Validation?

Центры сертификации могут потребовать ручной проверки, если заказ подпал под так называемую Brand Validation – проверку бренда. Есть несколько причин, почему заказ может быть отклонен при ручной проверке:

  • Заказ из следующих стран: Южная Корея, Северная Корея, Судан, Афганистан, Иран или Ирак.
  • Целевое доменное имя включает в себя известный бренд: такие как sony-shop.net, dellshop.com или facebook.com.ua. Например, домен sibmama.com.ua моежт попасть под проверку бренда из-за части адреса ibm, из-за созвучности с всемирно известной торговой маркой IBM.
  • Имя домена имеет “стоп-слова”, асоциированные с кибер-преступностью. К примеру: pay, online, secure, booking, shop, bank, transfer, money, e-payment, payment, protection, violence, и другие.

К счатью, необходимость ручной проверки Brand Validation возникает очень редко и ранееописанный пример домена sibmama.com.ua является скорее исключением, чем правилом.

SSL-сертификаты с проверкой организации (Organization Validation SSL)

Organization Validation Banner

Сертификат SSL с верификацией организации доступны для заказа только юридическим лицам. Процесс занимает около 2-5 рабочих дней, если все документы были предоставлены вовремя.

Процесс проверки организации включает в себя следующие этапы:

1. Проверка домена. Полностью аналогичная первому описанному выше уровню валидации.

2. Проверка компании. проверку организации, возможно, потребуется предоставить некоторые официальные документы центру сертификации. В основном они требуют лицензию/учредительные/уставные документы организации. Вы можете отправить их по факсу или по электронной почте в формате PDF JPG. Реальное существование организации проверяется через открытые государственные реестры, используя название компании или уникальный идентификационный номер. Также компания может быть проверена с помощью общедоступных электронных каталогов, таких как Duns & Bradstreet , Hoovers, Companies House GOV.UK, Lursoft.lv и т.д.

Найти уникальный номер Duns & Bradstreet компании можно на сайте, указав английскую транслитерацию украинского названия компании (не перевод, а именно транслитерацию).

Адрес компании может быть проверен с помощью одного из документов:

  • Устав компании (с указанием адреса);
  • Государственная лицензия на предпринимательскую деятельность (с указанием адреса);
  • Копия недавней выписки из банковского счета компании;
  • Копия последнего телефонного счета;
  • Копия последнего крупного счета за коммунальные услуги компании (счет за воду, электричество и т.д.) или действующий договор аренды для компании;

Обязательно наличие в выводе whois домена названия организации, имя которой должно совпадать с названием в едином государственном реестре юридических лиц.

3. Проверочный звонок. Поставщик услуг SSL выполняет звонок на номер телефона, который указан в международной базе организаций Dun & Bradstreet (для валидации номера телефона и адреса компании можно также использовать ресурсы Kompass.com и Infobell) и просят пользователя, который указан в административном контакте доменного имени. Необходимо, чтоб данный человек знал номер заказа, предоставленный Центром сертификации и мог подтвердить на английском языке свой заказ.

При выпуске OV сертификата для подтверждения заказа по телефону клиенту на технический контактный адрес будет выслано письмо, где будет указана ссылка на переход на портал поставщика услуг Comodo. Необходимо будет перейти по указанной ссылке и нажать кнопку Call Me Now, после этого Вы получите 6-значный код на контактный номер. Необходимо будет ввести код на портале поставщика и после этого нажать Submit для завершения процедуры верификации.

Важно: Во всех документах, информационных источниках, CSR, и WHOIS домена название компании и контактные данные о ней должны полностью совпадать!

Для ускорения и упрощения процесса выпуска сертификата мы рекомендуем зарегистрировать для компании DUNS-номер. DUNS представляет собой своеобразный электронный паспорт юридического лица. Это условие не является обязательным и не предоставляет какие-либо гарантии выпуска SSL, однако наличие номера DUNS упрощает процесс проверки Центром сертификации.

Для смены номера телефона или названия компании (если Ваши данные не совпадают с базой Dun & Bradstreet) необходимо обратиться в представительство данной организации в Украине.

SSL-сертификаты с расширенной проверкой (Extended Validation SSL)

Sectigo partner banner

SSL с расширенной проверкой являются наиболее надежными и проверенными продуктами. Проверка занимает около 4-7 рабочих дней в случае, если все документы правильно и вовремя оформлены, поэтому, заказывать и перевыпускать такой сертификат необходимо заранее.

Фактически, процедура валидации Extended Validation SSL несущественно отличается от Organization Validation SSL, описанной ранее.

Главное отличие состоит в необходимости заполнения и отправки сертификационному центру двух форм, которые доступны по адресу.

Примеры уже заполненных форм, первой и второй.

После заполнения, необходимо отправить скан-копии на адрес docs@sectigo.com с указанием в теме письма номера заказа в центре сертификации. Номер заказа фигурирует в письмах от Sectigo/Comodo, уточнить его Вы также всегда можете у Службы поддержки. Иногда, сертификационный центр просит заверить нотариально заполненные формы. Остальные поставщики услуг SSL (например Geotrust или RapidSSL) отправляют все необходимые формы для заполнения на контактный почтовый адрес Вашего домена.

Последующие этапы валидации аналогичны уже ранее описанным:

1. Проверка домена. Которая уже была описана выше.

2. Проверка организации. Которая уже была описана выше.

3. Обратный звонок. Который уже был описан выше, в 3-ем пункте процедуры валидации с проверкой организации.