Отказ от SSL сертификатов для локальных доменов и IP адресов

Достаточно часто к нам  поступают запросы о том, как получить SSL сертификат для локального домена (.local) или для IP адреса. Если раньше отдельные типы SSL сертификатов можно было получить для IP адреса или внутреннего домена, то теперь это, к сожалению, уже невозможно. Заказ внутренних сертификатов, как Comodo IntranetSSL более невозможен, а мультидоменные сертификаты с поддержкой локальных доменов .local будут действительны только до 31-го октября 2015 года. Что касается ранее выпущенных SSL сертификатов для внутренних доменов и IP адресов, то 1 октября 2016 года они будут отозваны или заблокированы браузерами.

Верификация домена для получения SSL сертификата: альтернативные способы валидации

Для получения любого SSL сертификата - от самого простого до SSL с зеленой строкой - самым главным и неизбежным является условие подтверждения заказчиком своего права доступа к домену, для которого он заказывает SSL сертификат. В оригинале эта процедура называется DCV, сокращенно от Domain Control Validation (что означает проверка права владения доменом или его управления).

Настройка прямой секретности на Apache, Nginx и OpenSSL

В нашей предыдущей статье мы вкратце описали особенности режима прогрессивной (прямой) секретности (forward secrecy) и упомянули некоторые моменты его настройки. Если Вы только знакомитесь с понятием прямой секретности, мы рекомендуем сначала прочитать тот пост. В этой же статье мы детально расскажем об особенностях конфигурации Apache, Nginx и OpenSSL под режим прямой секретности.

Прямая секретность или как достичь максимальной безопасности сайта

В свете недавно раскрытых фактов массового слежения, ранее обделенная вниманием особенность SSL/TLS, известная как «прогрессивная или прямая секретность» (Forward Secrecy, FS), вдруг стала очень актуальной. Чем же так интересна и важна сегодня прямая секретность?

Отказ от SHA1. Переход на SHA256

В последнее время все чаще встречается новость о том, что SHA1 - одна из наиболее популярных функций хеширования - на грани исчезновения. Алгоритм SHA1 был разработан в далеком 1995 году, а его первые слабые стороны обнаружили в 2005-м - почти 10 лет назад. Расчеты, проведенные два года назад, показали, что возможности взлома SHA1 значительно возросли. В связи с этим еще в ноябре прошлого года (2013) Microsoft заявил о том, что начиная с 2016 года компания полностью откажется от поддержки сертификатов, основанных на SHA1.

Отказ Google от SHA1 в Chrome

Тем не менее, намного больше паники вызвало недавнее заявление Google о том, что компания будет постепенно отказываться от поддержки SHA1 в новых версиях наиболее используемого браузера Chrome. В первую очередь это отразится на том, что веб-сайты, использующие SSL сертификаты с хешированием SHA1 и сроком действия, заканчивающемся в 2016 году и позже, будут отмечены в браузере как ненадежные. Это изменение требует незамедлительных действия со стороны веб-администраторов, так как на сентябрь 2014 более 85% всех защищенных веб-сайтов использовали SSL сертификаты, основанные на алгоритме SHA1.

SNI - технология установки нескольких SSL сертификатов на один IP

Как правило, на одном IP адресе можно установить только один SSL сертификат. Когда администратор веб-сайта ограничен в использовании одного сертификата SSL на сокет (комбинация IP адреса и сокета), это может стоить для компании больших затрат, так как данное ограничение заставляет их покупать несколько IP адресов у доменного хоста или оборудование, позволяющее использовать несколько сетевых адаптеров.

SSL сертификат для нескольких доменов Одним из вариантов решения этой проблемы являются мультидоменные SSL сертификаты, в которые может входить до 100 доменов. Благодаря удобству использования и быстроте обслуживания, такие сертификаты стоят несколько дороже обычных. Поэтому возникла необходимость поиска иного способа решения этой проблемы.

Почему Google ввел SSL и HTTPS как новый фактор ранжирования сайта?

В начале августа самая популярная поисковая система Google сделала невероятный шаг: компания заявила, что наличие SSL сертификата теперь официально относится к факторам ранжирования сайтов. Это был первый случай, когда Google публично и однозначно заявил, что определенный фактор способствует ранжированию в контексте собственного поискового алгоритма. Ранее приходилось собирать эту информацию в основном путем проведения экспериментов. Но тема Интернет безопасности достаточно высоко ценится в Google, так что этот шаг является оправданным. Взглянув на прошлые действия поискового гиганта, становится ясно, что Google относится к шифрованию очень серьезно. Так, с недавних пор Google начал полностью шифровать результаты поиска с помощью SSL и HTTPS. К слову это нововведение не обрадовало многих оптимизаторов, так как теперь невозможно точно определить ключевые слова, что приносят наибольший объем трафика. Но каковы же конкретные преимущества SSL и HTTPs для веб-сайтов?

Открытый и закрытый ключ: для чего они применяются?

Основной целью применения SSL сертификатов является шифрование данных, передаваемых на сервер от клиента и клиенту от сервера. Для обеспечения безопасности такого соединения современные браузеры используют алгоритм TLS, основанный на сертификатах формата X.509. Данный алгоритм применяет ассиметричное шифрование, чтобы создать ключ сессии для симмертичного шифрования. Последнее используется непосредственно для передачи данных после установления защищенного соединения.

Ошибка SSL: что делать, когда браузер выдает ошибку проверки достоверности SSL сертификата

При посещении веб-сайта с установленным сертификатом безопасности (для шифрования данных по протоколам SSL/TLS), который браузер не может проверить, выдаются следующие предупреждения:

Internet Explorer:

«Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации».

Как экспортировать сертификат CodeSigning из браузера?

В отличие от SSL, процедура получения CodeSigning сертификатов несколько иная: запрос на получение и ключ генерируется в браузере (центры сертификации рекомендуют использовать Internet Explorer), а после выдачи сертификат подписи кода нужно загрузить в том же браузере и на том же компьютере, где был создан запрос. Когда Вы прошли проверку и получили сообщение, что сертификат CodeSigning выдан, Вам необходимо перейти по ссылке в письме, чтобы получить его. После этого Вы сможете экспортировать его из браузера в формате PFX и подписать программное обеспечение. Заказать Code Signing    

Экспортирование сертификата CodeSigning из Internet Explorer:

1. Откройте Контрольную панель (Control Panel) и кликните по ссылке «Параметры Интернета» (Internet Options).

Срочно смените пароль на eBay!

В среду, 21 мая 2014, компания eBay – наиболее крупная площадка по продаже товаров – призвала всех пользователей сменить свои пароли доступа. Причиной этому послужила кибер-атака, осуществленная предположительно конце февраля – первой половине марта этого года на базу данных клиентов, в результате которой были украдены пароли и другие нефинансовые данные пользователей.

Как были украдены данные пользователей eBay?

В результате хакерской атаки были скомпроментированы лишь некоторые данные доступа сотрудников компании, но это позволило злоумышленникам войти в корпоративную сеть eBay. Сотрудники компании eBay обнаружили утечку данных две недели назад, после чего провели экспертизу и обнаружили, что мошенники сумели заполучить базу данных, которая содержала имена, пароли, даты рождения, физические и электронные адреса, а также номера телефонов пользователей eBay.

Уязвимость Heartbleed в библиотеке OpenSSL ставит SSL защиту под угрозу!

Баг Heartbleed (официальное название CVE-2014-0160) – это серьезная уязвимость в открытой криптографической библиотеке OpenSSL, обнаруженная 6 апреля 2014 года. Уязвимость Heartbleed позволяет украсть информацию, защищенную шифрованием SSL/TLS, не оставляя следов для владельца веб-сайта.

Кто подвержен уязвимости Heartbleed?

Уязвимость появилась в OpenSSL в декабре 2011 года и присутствовала начиная с OpenSSL выпуска 1.0.1 от 14 марта 2012. Уязвимость была устранена в OpenSSL последней версии 1.0.1g, выпущенной 7 апреля 2014.

Что такое промежуточный сертификат?

Промежуточный сертификат SSL (intermediate certificate) – это одно из звеньев в цепочке доверия, которое позволяет связать Ваш личный SSL сертификат с корневым центром сертификации.

Промежуточный центр сертификации SSL

Существует два типа сертификационных центров: корневые и промежуточные. Часто SSL сертификаты выдаются промежуточными центрами сертификации. Таким, например, является бренд AlphaSSL для GlobalSign или RapidSSL для компании Geotrust. Для того, чтобы SSL сертификат был доверенным, а часто и для того, чтобы вообще установить защищенное соединение, он должен быть выдан центром сертификации, включенным в список доверенных в браузере или устройстве. Поэтому, прежде, чем установить соединение с сервером, браузер клиента проверяет содережащийся список с установленными корневыми сертификатами. Для примера возьмем PositiveSSL, установленный для личного кабинета на нашем сайте emaro-ssl.ru.

Что такое корневой сертификат SSL и зачем он нужен?

Корневой сертификат SSL – одна из частей схемы PKI (инфраструктуры публичных ключей), которая идентифицирует корневой центр сертификации. Важность SSL сертификации и преимущества защищенного https соединения оценили многие пользователи. Использование SSL гарантирует:

  • шифрованную передачу данных между сервером и клиентом;
  • подлинность сайта, с которым происходит обмен информацией (защита от фишинга).
Но возникает вопрос: откуда берутся цифровые сертификаты безопасности и кто отвечает за их надежность? Есть несколько основных доверенных центров сертификации, которые выдают сертификаты SSL и Code Signing. Они проверяют, действительно ли клиент, запросивший SSL имеет доступ к домену или является представителем запрашивающей организации. Кроме того, именно центры сертификации несут ответственность за конфиденциальность передаваемой информации. Массовое применение сертификатов SSL привело к большому количеству сертификационных центров, каждый из которых подписывает предоставляемые решения своим именем. Чтобы браузер пользователя мог отличать поставщиков SSL друг от друга, а также определить их надежность, в нем применяется список доверенных центров сертификации.

CRL – список аннулированных сертификатов SSL

Одним из важных аспектов безопасности сайта является процедура аннулирования SSL сертификатов и их внесения в списки CRL. Как известно, центры сертификации выписывают SSL сертификаты безопасности только после валидации доменного имени и в некоторых случаях после тщательной проверки компании, которой принадлежит этот домен. Благодаря данной процедуре сертификационный центр может обеспечить достоверность информации в SSL сертификате и соответственно гарантирует безопасность защищенного веб-сайта. Все же иногда случается, что безопасность сайта может оказаться под угрозой даже с действующим SSL сертификатом, например, если специальный ключ доступа был утерян или украден. В таких случаях он должен быть аннулирован (отозван). Аннулированные SSL сертификаты заносятся в специальные списки CRL. Причины аннулирования SSL

Самоподписанный SSL сертификат - преимущества и недостатки

Все системные администраторы время от времени стоят перед выбором: купить SSL сертификат от Comodo, Thawte, Symantec и т.д. или же создать его самому? Зачем покупать вообще, если можно сгенерировать самоподписанный SSL сертификат? В этой статье мы постараемся разобраться, в каких случаях можно обойтись самоподписанным, а когда все же лучше приобрести доверенный SSL сертификат.

Как создать SSL сертификат самостоятельно?

Для создания защищенного соединения между пользователем сетевого ресурса и сервером широко применяются SSL сертификаты, которые являются гарантией того, что передаваемые данные будут надежно зашифрованы и смогут быть прочитаны только владельцем данного SSL сертификата. Подобная схема позволяет исключить утечку информации при передаче сведений о банковской карте клиента, его персональных данных и прочей конфиденциальной информации. Даже в том случае, если поток данных удастся перехватить, расшифровать его без наличия секретного ключа и алгоритма шифрования не представляется возможным.

Купить PositiveSSL за 5 минутПроцесс создания SSL сертификата самостоятельно - достаточно трудоемкий процесс, требующий немало времени, особенно, если Вы раньше не сталкивались с этим вопросом. Поэтому в некоторых случаях проще получить самый простой сертификат от доверенного центра сертификации, выдача которого занимает всего 5 минут.

Создать SSL сертификат самому можно средствами свободно распространяемого пакета IIS6 Resource Kit Tools.

Создаем CA_bundle из файлов crt

Что такое CA_bundle?

CA bundle – это документ, содержащий корневой и промежуточный сертификаты соответствующего центра сертификации. Файл имеет расширение .ca_bundle и используется для установки SSL сертификатов на сервере Apache. Если Ваш сайт расположен на другом сервере, у Вас нет необходимости создавать CA bundle, Вы можете спокойно использовать корневой и промежуточный сертификаты, полученные на нашем сайте.

Как установить печать защиты Positive SSL?

После того, как Вы приобрели на нашем сайте сертификат PositiveSSL или PositiveSSL Wildcard, мы рекомендуем выбрать и активировать на защищенном сайте соответствующую печать защиты Positive SSL. Рассказать об SSL защите Вашего веб-сайта с помощью Siteseal - лучший способ убедить посетителей в безопасности Вашего ресурса, благодаря чему они будут чувствовать себя безопасно и уверенно, пользуясь Вашими онлайн-сервисами.

Использование SSL сертификата: зачем он нужен?

ssl-useЗачем же использовать SSL сертификаты безопасности? Чрезвычайно важно, чтобы это понимал каждый человек, имеющий дело с всемирной паутиной. А это практически каждый.

На сегодняшний день SSL сертификаты являются основой безопасности в сети Интернет, защищая конфиденциальную информацию, пересылаемую по всему миру, от несанкционированного доступа. Благодаря использованию SSL сертификатов, мы можем быть спокойны, ведь риск утечки информации при ее передаче исключен, и никто не заполучит наши персональные данные или данные наших платежных карт, введенных при оплате в интернет-магазинах.


Страницы: Пред. 1 2 3 4 5 6 След.
5 шагов к безопасному сайту с SSL
Заказать SSL сертификат
Создать CSR запрос
Пройти валидацию
Получить SSL сертификат
Установить SSL сертификат
EV SSL Certificate