SSL сертификат: назначение, особенности, применение

В данном разделе представлены ответы на наиболее популярные вопросы, возникающие у клиентов компании и посетителей сайта.

SSL — что это такое?

Аббревиатура расшифровывается как Secure Sockets Layer, что по-английски означает «уровень защищенных сокетов». В данном случае речь идет о криптографическом протоколе, который был разработан в 1996 году специалистами компании Netscape. Он обеспечивает передачу конфиденциальных сведений, которая осуществляется между клиентом и пользователем по безопасному каналу. В настоящее время SSL-протокол является наиболее востребованным способом защиты данных, передаваемых через Интернет. При использовании этой технологии клиент и сервер еще до начала сеанса связи определяют оптимальный алгоритм шифрования и общие ключи. Она поддерживается всеми современными интернет-обозревателями и операционными системами, относится к числу промышленных стандартов и задействуется миллионами веб-ресурсов для обеспечения безопасной работы пользователей Интернета. Для применения технологии на сервере должен быть установлен соответствующий SSL сертификат.

Что такое SSL сертификат?

Это — цифровой документ, подтверждающий надежность и конфиденциальность данных, передаваемых между сервером и клиентом. Его наличие способствует повышению уровня защиты информации. В свою очередь, это положительно скажется на имидже предприятия.

Сертификат выдается на конкретное доменное имя, включает все необходимые сведения о владельце веб-ресурса и центре сертификации, ответственном за его выдачу. Что касается информационного содержания сертификата, то оно определяется его типом. Всю эту информацию можно просмотреть в информации о сертификате, кликнув на значок замка или сокращение https в адресной строке браузера:

Как выглядит информация о SSL сертификате в браузере

Для чего нужен SSL сертификат?

Исходя из того, что такое SSL сертификат, его наличие гарантирует:

Знать, что такое SSL сертификат, и иметь его должны владельцы веб-ресурсов, непосредственно работающие с конфиденциальной информацией. Обычно это — пароли, паспортные данные, пин-коды, номера телефонов и кредитных карт и т. п. Передача подобных данных по незащищенным каналам связи делает их крайне уязвимыми: высока вероятность перехвата таких сведений злоумышленниками, которые используют их для достижения корыстных целей. В связи с этим необходимо обезопасить себя и своих клиентов от подобных рисков. В любом случае веб-ресурс, защищенный SSL сертификатом, вызывает значительно больше доверия у пользователей.

Как правильно выбрать сертификат SSL?

Существует несколько типов SSL сертификатов. Общая классификация представлена на изображении ниже: 

Типы SSL сертификатов

Так, продукты, что обеспечивают исключительно шифрование данных (без подтверждения бизнес-статуса), называются Domain Validation SSL (c проверкой домена). Они относятся к начальному уровню, в связи с чем отличаются выгодной ценой и скоростью выпуска. Приобретать их могут частные лица и организации, при этом не требуется представление никаких документов.

Следующий тип сертификатов — Organization Validation SSL (c проверкой организации) — рекомендуется для применения небольшими онлайн-магазинами и прочими коммерческими веб-ресурсами с целью подтверждения того, что информация передается в том виде и объеме, в котором она была отправлена, и обеспечения безопасности совершаемых денежных транзакций. Наличие Organization Validation SSL гарантирует надежность и полную легитимность деятельности компании, при этом подтверждая ее бизнес-статус. Такие сертификаты приобретаются только юридическими лицами после предоставления необходимых сведений о предприятии.

Крупным финансовым структурам рекомендуется приобретать Extended Validation Certificates — SSL сертификаты расширенной проверки. Это — самый надежный тип, выдаваемый только юридическим лицам и лишь после углубленной проверки легальности их деятельности. Их особенность заключается в наличии специальных индикаторов — зеленой адресной строки и названия организации в ней.

Для защиты конфиденциальной информации сразу нескольких разделов сайта хорошим вариантом являются Wildcard SSL — сертификаты с поддержкой поддоменов. С их помощью обеспечивается безопасность требуемого количества субдоменов третьего уровня, они доступны для приобретения частными лицами и организациями.

Обеспечить эффективную защиту сразу нескольких доменных имен и поддоменов можно с помощью Multidomain или SAN SSL — мультидоменных сертификатов. Это избавляет от необходимости приобретения нескольких одиночных продуктов, вместо них можно купить один общий. Это выгодно по деньгам и времени, такие сертификаты доступны частным и юридическим лицам.

Что такое SSL сертификат для IP-адреса и как его получить?

Он был доступен ранее, однако с ноября 2014 года центры сертификации прекратили выпуск сертификатов SSL для IP-адресов.

Каким образом можно получить сертификат SSL для локального домена?

К сожалению, в настоящее время такой возможности нет. С 2014 года центры сертификации прекратили выдачу SSL сертификатов для локальных доменов. Теперь для получения SSL сертификата необходимо перевести Ваше доменное имя в FQDN-домен (например, billing.local теперь должен выглядеть как billing.domain.ru).

Это также касается UCC сертификатов для Exchange почтовых серверов.

Что необходимо для получения сертификата SSL?

Порядок действий зависит от специфики ситуации. Во всех случаях необходимо:

  1. выбрать подходящий тип и оформить заказ;
  2. сформировать CSR запрос на получение сертификата (подробнее о нем рассказывается ниже) и ввести технические данные домена;
  3. указать административный e-mail на домене, которому требуется защита. Возможные варианты: admin@, administrator@, hostmaster@, webmaster@ или postmaster@. Допускается использование другого адреса, если на него зарегистрирован домен и если он указан в whois-записи о домене:

На указанный e-mail центр сертификации вышлет письмо со ссылкой, по которой следует перейти, чтобы подтвердить домен. 

Для сертификатов с проверкой компании и расширенной проверкой:

  1. предоставить номер ИНН / ОГРН или выписку из ЕГРЮЛ;
  2. предоставить запись на dnb.com с актуальным номером телефона, или добавить его в Выписку из ЕГРЮЛ, или предоставить письмо с данными о компании, заверенное у нотариуса.. На этот номер Вам перезвонят из центра сертификации с целью подтверждения заказа.

Только для сертификатов SSL с расширенной проверкой EV SSL:

  1. заполнить заявку на получение и заключить договор с центром сертификации. Необходимая документация будет выслана после оформления заказа;
  2. ответить на звонок для валидации. Отличие от п. 5 заключается в том, что с Вами будет разговаривать специалист центра сертификации, который пригласит к телефону человека, подписавшего договор (чаще всего это — генеральный директор), а также сотрудника кадровой службы — для подтверждения должности заказчика.

Имейте в виду, что наименование и адрес компании должны быть идентичными в выписке из ЕГРЮЛ, заказе, источнике с номером телефона и whois-записи о домене (при отсутствии адреса проверяется совпадение названия компании).

Что делать при отсутствии административного e-mail?

Ключевым условием выдачи сертификата SSL является подтверждение получателем прав доступа к домену. Самый простой способ для этого — использование e-mail.

При отсутствии административного электронного адреса некоторые центры сертификации (например, Comodo) осуществляют выдачу сертификатов с использованием альтернативных методов валидации. Подробнее об этом читайте здесь.

Что такое CSR и как сформировать CSR запрос для получения SSL сертификата?

Аббревиатура CSR переводится как «запрос на получение сертификата» (Certificate Signing Request). В нем содержатся все необходимые сведения о домене и предприятии в зашифрованном виде. Вместе с ним генерируется закрытый ключ (private key), который следует сохранить в безопасном месте и не предоставлять третьим лицам. Эти файлы выглядят так:

CSR запрос и приватный ключ: как выглядят эти файлы

Что делать, если при получении SSL сертификата выдается ошибка «Поле не соответствует значению в строке CSR»?

Удостоверьтесь, что данные, которые Вы подаете в анкете на получение сертификата, совпадают с данными, указанными при генерации CSR запроса. Проверьте, чтобы они были введены только на английском языке. Недопустимы сокращения: все названия следует указывать полностью. Запрещено использование следующих символов: < > ~ ! @ # $ % ^ * / \ ( ) ? . , &.

Необходимо заполнить следующие параметры:

Параметры сертификата

Значение

Пример

Common Name

Полный домен или поддомен, на который оформляется сертификат (для сертификата Wildсard он должен начинаться с «*.»)

www.mydomain.ru

(но для Wildсard SSL сертификатов —

*.mydomain.ru)

Country Name

Код страны (два буквенных символа)

RU

State or Province Name

Название края/области, где зарегистрирована организация

Moscow

Locality Name

Наименование города или иного населенного пункта

Moscow

Organization Name

Полное наименование предприятия (согласно выписке из ЕГРЮЛ) или Ф. И. О. частного лица

MyOrganizationName

Organizational Unit Name

Название подразделения компании, которое получает сертификат

IT

E-mail Adress

E-mail для последующего подтверждения данных (не обязательно для заполнения)

admin@MyCompany.com

Заполнение всех реквизитов должно осуществляться только на английском языке!

После того как на Вашем сервере будет сгенерирован CSR, копию запроса следует ввести при заполнении технических данных домена для выдачи сертификата SSL.

Сформировать запрос CSR через сайт

Проверить корректность CSR запроса

Помните, что в процессе формирования CSR запроса Вы генерируете приватный ключ, при утере которого SSL сертификат не будет функционировать. Обязательно сохраните его!

Приватный ключ не сохранился или утерян. Что делать?

Единственный выход в подобной ситуации — перевыпуск сертификата. Если это произошло, пожалуйста, обратитесь в нашу техническую поддержку (контакты указаны в шапке сайта).

Мне не пришло письмо для подтверждения домена. Что делать?

Как правило, при заказе простых SSL сертификатов письма для подтверждения домена отправляются в течение 10 минут напрямую из центра сертификации. Если Вам не пришло письмо, причин может быть несколько:

1. Письмо попало в спам. Обязательно проверяйте папку со спамом!

2. Письмо заблокировано фильтром в Вашем почтовом сервере. Убедитесь, что письма не блокируются, и попросите нашу техническую поддержку запросить отправку письма еще раз.

3. При отправке технических данных возникла ошибка, решение которой требует вмешательства наших сотрудников. Обратитесь в нашу техническую поддержку.

Что делать с SSL сертификатом при изменении юридического имени компании?

Если у Вас простой SSL сертификат с проверкой домена, делать ничего не нужно.

Если у Вас сертификат с проверкой компании или с расширенной проверкой и Вы хотите изменить название компании в сертификате, необходимо запросить перевыпуск SSL сертификата и заново пройти валидацию (предоставить документ о регистрации компании, ссылку на телефонную книгу, ответить на звонок из центра сертификации). Для консультации в Вашем конкретном случае обратитесь в нашу техническую поддержку.

Сертификат перестал работать после смены сервера. Что делать?

Если у сертификата не ограничено количество лицензий для физических серверов, то установка старого сертификата на новом сервере осуществляется без проблем, если у Вас сохранился приватный ключ. В иных ситуациях можно перевыпустить сертификат. Для этого нужно на новом сервере сформировать CSR запрос на его получение и отослать его нам.

Как продлить SSL сертификат?

Процесс аналогичен покупке нового сертификата. Вам нужно найти сохраненную ранее копию запроса CSR, сгенерированного при получении действующего сертификата. Если не менялось название или адрес предприятия, заново представлять юридические документы не требуется. После продления к новому сертификату автоматически перейдут все неизрасходованные дни старого (максимум 90 дней).

EV SSL Certificate