Meniul
AcasăAvarii

Certificat SSL gratuit pentru un domeniu chirilic. Refuzul certificatelor SSL pentru domeniile locale și adresele IP

Imprimare

Cum să obțineți un certificat SSL gratuit pentru un domeniu rus folosind CloudFlare? + Bonusuri CDN.

(60 evaluări, medie: 5,00 din 5)

Prin utilizarea serviciului gratuit CloudFlare CDN veți obține cel puțin două avantaje:

  1. certificat SSL gratuit de la un serviciu de certificare de încredere, de încredere de către Mozilla Firefox, Google Chrome și alții;
  2. o rețea de livrare de conținut gratuită pentru site-ul dvs. (CDN - Content Delivery Network), care va crește viteza de încărcare a paginilor sale.

Citiți articolul pentru instrucțiuni detaliate despre cum să-l obțineți. Certificat SSL pentru un domeniu chirilic. În plus, voi explica impactul certificatelor problematice (lacăt roșu) asupra conversiei unui site web, blog sau magazin online.

Avertisment în Google Chrome pentru un site care utilizează protocolul https.

În legătură cu lansarea recentă a noii versiuni de Chrome 57 (începând cu Chrome 56) - site-uri cu certificate WoSign sau StartSSL— au devenit parțial inaccesibile.

Nu mai există un lacăt verde în bara de adrese a browserului.

S-a terminat gratuitul? De fapt, nu - vei găsi răspunsul în articol.

De ce s-a terminat gratuitul? WoSign și StartSSL.

S-a raportat anterior (toamna 2016) că aceste centre de certificare nu respectă cerințele de securitate.

Firefox, Chrome și altele nu vor mai afișa un lacăt verde în bara de adrese. Voi spune mai multe, acum este mai dificil să accesezi resurse cu aceste certificate.

Google Chrome, de exemplu, avertizează despre un certificat rău și arată acest lucru utilizatorului atunci când deschide orice pagină de pe domeniu.

Atacatorii Eu pot sa incerc răpi datele dvs. de pe site.

Dar o face în așa fel încât persoana care deschide site-ul s-ar putea speria. Fără a înțelege adevăratul motiv pentru un astfel de mesaj, o persoană va părăsi site-ul „periculos”.

Arata cam asa:


Google Chrome: conexiunea dvs. nu este sigură (NET::ERR_CERT_AUTHORITY_INVALID)

Și pentru a obține acces la un astfel de site, trebuie totuși să deveniți inteligent și să faceți clic pe „Avansat” (se pare că există dificultăți de traducere) și să găsiți acolo „mergi la site-ul xxx”.


Google Chrome: serverul nu poate verifica conexiunea cu domeniul - accesați site-ul (nesigur)

Și după confirmarea tranziției la site, totul în bara de adrese este roșu:


La un astfel de site brusc încrederea scade utilizatorii și îl părăsesc imediat. Deși mă îndoiesc că nu o vor închide în etapa anterioară.

Ps. În general, acest lucru se aplică site-urilor nu sunt incluse în primul milion conform Alexa, dar nu pot verifica asta.

Întrebare: cum se face un lacăt verde în bara de adrese a browserului?


Google Chrome și un lacăt verde în bara de adrese sunt un site de încredere.

Răspuns: Aveți nevoie de un certificat SSL valid de la o autoritate de certificare (Symantec, Comodo, GlobalSign etc.) de încredere de către producătorii majori de browsere.

  • Cumpărați un certificat cu suport IDN (nume de domenii internaționalizate: .рф, . moskva - în general, domenii non-latine). Nu toate certificatele au un IDN și, de obicei, costă mai mult.
  • Folosirea gratuită a serviciilor CloudFlare înseamnă a înșela.

Cum pot face gratuit un lacăt verde în bara de adrese pentru un domeniu chirilic?

Pentru ca site-ul nostru să aibă un certificat SSL bun în care Google Chrome, Mozilla Firefox, Opera și altele au încredere, vom folosi serviciul CDN CloudFlare.

Acest serviciu are încredere de companii atât de mari precum Zendesk, Eurovision, DigitalOcean și altele. Întreaga listă poate fi găsită la: cloudflare.com/case-studies/.

Instrucțiuni scurte. 4 pași.

Instrucțiuni pentru activarea unui certificat SSL în Cloudflare:

  1. Înregistrați-vă în serviciu;
  2. Selectați un domeniu și urmați instrucțiunile asistentului;
  3. Schimbați serverul DNS pentru domeniu, în panoul de control al domeniului - unde a fost înregistrat domeniul;
  4. Activați modul SSL dorit în panoul Cloudflare. Gata!

Acum să aruncăm o privire mai atentă la fiecare pas. Puteți face față unora dintre ele fără acest articol, dar la unii pași este posibil să aveți probleme prima dată.

Instrucțiuni detaliate cu capturi de ecran pentru configurarea Cloudflare și conectarea unui certificat SSL gratuit la domeniul dvs.

Înregistrați-vă cu Cloudflare.

Totul începe cu înregistrarea în serviciul Cloudflare.


Am adăugat site-ul nostru în panoul cloudflare și la ultimul pas ni se cere să schimbăm serverele DNS cu cele oferite de serviciu. În cazul meu este duke.ns.cloudflare.comȘi olga.ns.cloudflare.com. Mergem la panoul de control al găzduirii sau registratorului și schimbăm serverele de nume actuale cu altele noi.

Vă rugăm să rețineți că această procedură poate dura timp. Zona DNS se poate extinde de la șase la 48 de ore. Ei bine, în ultima vreme acest lucru s-a întâmplat mult mai repede.

Verificarea serverelor NS pentru un domeniu folosind Google Dig.

Este important ca site-ul să aibă un IP nou. Acesta va fi un indicator al unei modificări DNS.


Îl puteți verifica periodic folosind utilitarul Dig de la Google. Situat la //toolbox.googleapps.com/apps/dig/. Pe lângă serverele DNS, puteți verifica acolo serverul de e-mail și alți parametri.


Toate. Acum că zona DNS s-a răspândit, cloudflyer vede acest lucru și schimbă starea site-ului în Activ.

Obținerea unui certificat SSL gratuit în 2017 de la CloudFlare.

Acum despre cel mai important lucru - incluziunea https protocol pentru site.

Modul CloudFlare SSL: Complet - implicit.

Modul Cloudflare SSL - Complet

În mod implicit, după adăugarea unui site, certificatul SSL este conectat la domeniu în modul Full.

Dacă site-ul dvs. are deja acces prin HTTPS, atunci nu trebuie să faceți nimic. Certificatul SSL al site-ului va fi valabil pentru browsere.

Dar dacă nu ați avut până acum un certificat SSL sau nu doriți să vă deranjați cu unul, atunci citiți mai departe.

Activați modul flexibil în CloudFlare.

Accesați fila Criptoși activați Flexible pe pagina cloudflare.com/a/crypto/your_domain. Există 4 moduri cloudflare disponibile, dar mai multe despre ele altădată.


Cloudflare ne avertizează că poate dura până la o zi pentru a crea un certificat SSL. Și pentru un timp vom vedea eroarea ERR_SSL_PROTOCOL_ERROR.

Și acum că site-ul nostru este accesibil prin protocolul Https, vă puteți felicita în siguranță - ați făcut-o!

ps. Dacă site-ul dvs. se deschide, dar afișează „conținut mixt” în Prezentare generală de securitate a consolei pentru dezvoltatori Google Chrome, atunci trebuie să adăugați o regulă la CloudFlare.

Conținut mixt pe site prin HTTPS. Regulile paginii CloudFlare.


Pentru a preveni conținutul mixt pe site, trebuie să accesați fila Reguli de pagină și să configurați regula. Faceți clic pe Creare regulă de pagină și scrieți următoarele:

//*domeniul_dvs/*

Și adăugați setarea (Atunci setările sunt: ​​-> Adăugați o setare) Utilizați întotdeauna HTTPS.


Creați o regulă pentru a utiliza întotdeauna HTTPS - CloudFlare

Clic Salvați și implementați- si problema va fi rezolvata.

Este imposibil să obțineți un certificat SSL pentru un domeniu chirilic (.рф, .рус) în panoul de control VESTA

Apropo, da. Este imposibil să obțineți un certificat SSL pentru domeniile .рф, .рус.
Panoul de control Vesta (care este gratuit) are în prezent probleme cu domeniile chirilice (domenii IDN, naționale) și obținerea automată a certificatelor SSL de la Let’s Encrypt pentru acestea.
În acest sens, este problematică obținerea unui certificat SSL gratuit în VestaCP de la Let’s Encrypt.

Acest bug este cunoscutși se află în prezent încă în faza de discuție. În viitor, soluția va fi în următoarea actualizare. Ei bine, deocamdată va trebui să folosești CloudFlare și modurile lor flexibile și complete.

Clienții FirstVDS cu panoul ISPmanager pe un server virtual pot instala certificate gratuite Let's Encrypt pentru orice număr de site-uri.Let's Encrypt este un certificat SSL obișnuit cu verificarea domeniului (DV), care este emis pentru o perioadă nelimitată.

Cum se instalează un certificat?

1. Conectați-vă la panoul ISPmanager cu drepturi de superutilizator (rădăcină).

2. Accesați Integrare → Module, instalați pluginul gratuit Let’s Encrypt


3. Accesați Setări server web → Certificate SSL, selectați Let’s Encrypt


4. Selectați utilizatorul și domeniul în care doriți să instalați certificatul. Domeniul trebuie delegat, i.e. trebuie să deschidă site-ul - altfel certificatul nu va fi eliberat. Completați restul formularului.


5. Certificatul va fi instalat automat pe site-ul cu domeniul selectat. În primul rând, pe site este instalat un certificat autosemnat, care este înlocuit cu un certificat complet după finalizarea procesului. Așteptați eliberarea certificatului - tipul ar trebui să se schimbe în " Existent».


6. Gata! Site-ul dvs. este protejat de un certificat Let's Encrypt semnat - ar trebui să existe un lacăt verde în bara de adrese. Certificatul este valabil pe o perioadă nedeterminată.


Pentru ce este potrivit?

Certificatele Let's Encrypt sunt potrivite pentru a proteja site-urile web. Certificatul nu poate fi utilizat pentru semnarea codului și criptarea e-mailului.

Ce tipuri de verificări se efectuează?

Numai verificarea domeniului(DV, validare domeniu). Suportul pentru verificările OV și EV nu este disponibil și nu este planificat.

Cât de repede se eliberează?

Certificatul Let's Encrypt este emis și începe să funcționeze în câteva minute. Condiția principală este ca domeniul la care este legat certificatul să fie delegat. Este ușor de verificat: scrieți numele de domeniu al site-ului în bara de adrese a browserului dvs. și apăsați Enter. Dacă vedeți site-ul dvs., atunci totul este în ordine - puteți începe să obțineți certificatul.

Cât timp este valabil certificatul?

Pentru totdeauna, dacă există un panou de control ISPmanager pe server. Dacă nu există panou certificatul nu va fi reînnoit! De ce este asta? Certificatele Let's Encrypt sunt emise pentru 3 luni. Pluginul ISPmanager reînnoiește automat certificatul cu 7 zile înainte de sfârșitul perioadei următoare. Dacă eliminați panoul, atunci la sfârșitul următoarelor 3 luni certificatul nu va fi reînnoit și nu va fi reînnoit. mai fi detectat de browsere - va apărea o pictogramă HTTPS tăiată și un avertisment despre conexiunea nesigură. În acest caz, va trebui să actualizați manual certificatul la fiecare 3 luni sau să configurați singur reînnoirea automată utilizând software terță parte.

Certificatul va fi recunoscut de browsere ca fiind de încredere?

da se va. Cele mai multe browsere moderne sunt acceptate. Informații detaliate despre compatibilitate pot fi găsite pe forumul de asistență oficial.

Poate fi folosit în scopuri comerciale?

da, poti. În acest scop a fost creat certificatul.

Sunt acceptate numele codurilor de țară (IDN)?

Să criptăm certificatele suport IDN- nume de domenii folosind caractere din alfabetele naționale. Puteți folosi un certificat pentru domenii chirilice precum moisite.rf.

Sunt acceptate subdomeniile (caracterele metalice)?

Certificatele Let's Encrypt acceptă wildcard. Astfel de certificate sunt verificate numai prin înregistrări DNS.

Este acceptat multidomeniu (SAN)?

Nu. Certificatul în sine acceptă SAN-uri de până la 100 de domenii diferite, dar procesul automatizat de legare din panou exclude această caracteristică. Fiecare domeniu va trebui configurat separat.

Cum se configurează redirecționarea automată către HTTPS?

Chiar dacă pe site este instalat un certificat, vizitatorul poate introduce adresa în browser prin http://..., sau poate urma linkul vechi din motorul de căutare. În acest caz, conexiunea sa nu va fi securizată, iar el nu va ști că site-ul folosește un certificat SSL pentru a cripta datele transmise. Pentru a vă asigura că toate solicitările de la vizitatorii site-ului sunt criptate cu un certificat, trebuie să configurați redirecționarea HTTP → HTTPS.

Redirecționați folosind combinația Apache+Nginx

1. În panoul de control ISPmanager, accesați Domenii → Domenii WWW, selectați domeniul cu certificatul și faceți clic pe Editare.


2. În setări, bifați caseta Redirecționați solicitările HTTP către HTTPS și aplicați modificările.


3. Gata! Toate solicitările către site trec acum printr-o conexiune HTTPS securizată.

Redirecționează pe Apache pur

Atenţie! Toate modificările aduse fișierului de configurare Apache pe care le faceți pe propriul risc! Setările descrise mai jos vor funcționa în majoritatea cazurilor, dar pot cauza probleme în anumite configurații. Aveți încredere în experți dacă nu sunteți sigur de rezultatele modificărilor efectuate.

1. În panoul de control ISPmanager, accesați Domenii → Domenii WWW, selectați un domeniu cu certificat și faceți clic pe Config.

Destul de des primim solicitări despre cum să obținem un certificat SSL pentru un domeniu local (.local) sau pentru o adresă IP. Dacă anterior se puteau obține tipuri separate de certificate SSL pentru o adresă IP sau un domeniu intern, acum, din păcate, acest lucru nu mai este posibil. Comandarea de certificate interne precum Comodo IntranetSSL nu mai este posibilă, iar certificatele cu mai multe domenii care acceptă domeniile locale .local vor fi valabile doar până la 31 octombrie 2015. Ca și certificatele SSL emise anterior pentru domeniile interne și adresele IP, la 1 octombrie 2016 acestea vor fi revocate sau blocate de browsere.

De ce au fost anulate certificatele SSL pentru IP și domeniile locale?

Decizia de a opri emiterea de certificate SSL pentru domeniile .local și pentru adrese IP a fost luată la Forumul Autorităților de Certificare și Browserelor (Forumul CA/B).

Cel mai important obiectiv al autorităților de certificare atunci când emit certificate SSL este de a asigura fiabilitatea și încrederea prin asocierea datelor criptografice ale cheii publice cu o persoană sau o companie verificată. Certificatele SSL identifică computerele ca servere care oferă unul sau mai multe protocoale (de obicei HTTP pentru trafic web, dar și SMTP, POP, IMAP, FTP, XMPP, RDP și altele) prin SSL/TLS.

Serverul poate fi accesat printr-un număr de nume sau adrese. Un server conectat la Internet are de obicei propriul nume în Sistemul de nume de domeniu (DNS), care permite oricărui alt sistem de pe Internet să rezolve acel nume la o adresă IP și să acceseze serverul. De exemplu, să luăm un server cu numele de domeniu „server1234.site”. Acest sistem are o adresă IP rutabilă pe Internet - IPv4 sau IPv6, sau ambele.

Cu toate acestea, serverele pot avea nume și adrese suplimentare care sunt valabile numai în contextul rețelei locale și nu pe întregul Internet. Astfel, același server din exemplul de mai sus poate fi accesat de alte computere din rețeaua locală sub denumirile „mail” sau „mail.local”.

Numele de domeniu local poate fi convertit într-o adresă IP rutabilă pe Internet sau într-o adresă IP accesibilă numai prin rețeaua locală. Spațiul de adrese IP „192.168.*.*” pe care îl folosesc multe gateway-uri de internet de acasă este poate cea mai cunoscută serie de adrese de rețea personale. Dar există și multe spații de adrese IP IPv4 și IPv6 rezervate pentru utilizări private sau de altă natură.

Diferența cheie dintre aceste două tipuri de nume de domenii și adrese IP este unicitatea lor. P Un nume de domeniu complet calificat (FQDN), cum ar fi „www.site”, reprezintă o entitate unică și ușor de distins pe Internet (chiar dacă mai multe servere răspund la acel nume de domeniu, o singură persoană îl poate gestiona). În același timp, mii de sisteme din rețele publice și private (locale) pot răspunde la un nume de domeniu nedefinit „e-mail”. Pe Internet, un singur nod de comunicație are adresa IP „5.63.155.56”, în timp ce zeci de mii de gateway-uri de internet de acasă au adresa „192.168.0.1”.

Certificatele SSL de la autoritățile de certificare de încredere sunt emise pentru a asigura securitatea și încrederea pentru numele de domenii pe internet. Numele de domenii non-unice, prin însăși natura lor, nu pot fi identificate în afara contextului lor local, astfel încât certificatele SSL emise pentru domeniile locale sunt potențial periculoase deoarece pot fi folosite în scopuri frauduloase.

Din acest motiv, autoritățile de certificare refuză să emită certificate SSL pentru domenii și adrese IP care nu sunt unice, cum ar fi „mail”, „mail.local” sau „192.168.0.1”.

De ce este periculos să folosiți certificate SSL pentru domeniile locale și adresele IP?

De exemplu, să luăm o companie care a implementat un sistem de e-mail la „https://mail/”. Sistemul nu este accesibil prin World Wide Web, ci doar printr-o rețea corporativă locală sau prin VPN. Este sigur?

Nu este necesar dacă aveți un certificat SSL pentru numele de domeniu „e-mail” de la o autoritate de certificare de încredere. Numele de domeniu „mail” nu este unic, așa că aproape oricine poate obține un certificat SSL pentru „https://mail/”. Dacă un atacator folosește un astfel de certificat pe o rețea LAN corporativă împreună cu falsificarea locală a numelor, el poate falsifica cu ușurință serverul de e-mail corporativ real și poate obține acreditările de conectare ale utilizatorului și alte informații sensibile. Mai mult, fraudatorul nici nu trebuie să fie în rețeaua corporativă pentru a efectua cu succes un atac. Dacă un utilizator își conectează laptopul corporativ la o rețea WiFi publică, clientul de e-mail poate încerca automat să se conecteze la „https://mail/” înainte ca o conexiune VPN să fie stabilită. În acest moment, un atacator poate face o înlocuire și poate fura datele utilizatorului.

Trebuie remarcat aici că nu contează dacă certificatul SSL a fost folosit de la o autoritate de certificare de încredere binecunoscută (cum ar fi Comdo, Thawte, Symantec și altele) sau un certificat SSL autosemnat de la o autoritate de certificare corporativă privată. În cazul în care certificatul SSL folosit de escroc este legat la o autoritate de certificare în browser sau în stocarea sistemului de operare, certificatul va fi acceptat de toți clienții, creând o vulnerabilitate chiar și pe partea de utilizator a infrastructurii cu chei private (PKI).

Datorită faptului că este imposibil să se efectueze o verificare completă a domeniilor locale și a adreselor IP, precum și a posibilității mari de a utiliza astfel de certificate SSL în scopuri frauduloase, CA și Forumul de browser au decis să nu mai emită.

Care sunt alternativele?

1. Utilizați nume de domenii complet calificate (FQDN) și căutarea DNS a sufixului de domeniu.

Multe site-uri accesibile printr-un nume de domeniu local pot fi, de asemenea, accesate și identificate corect de un FQDN, deoarece software-ul client DNS utilizează un proces numit căutare sufix, în care sufixele configurate sunt adăugate la numele local și rezultatul este un domeniu FQDN complet calificat. De obicei, acest lucru se întâmplă automat pentru domeniile din care face parte sistemul. De exemplu, un sistem numit „client.example.com” folosește „example.com” ca sufix de căutare. Când încearcă să stabilească o conexiune cu numele „server”, acest sistem va încerca automat să găsească „server.example.com” printr-o căutare DNS. Puteți configura singur căutarea DNS pentru un sufix de domeniu.

Dacă utilizați domeniul .local pentru rețeaua dumneavoastră internă, această metodă nu vă va potrivi; vă recomandăm să luați în considerare următoarele.

Când un atacator încearcă să acceseze site-ul dvs., acesta poate fi falsificat chiar dacă utilizatorul a introdus corect numele de domeniu.

Certificatele SSL elimină posibilitatea unei astfel de înlocuiri - prin vizualizarea certificatului, utilizatorul se poate asigura că domeniul găzduiește exact site-ul care ar trebui să fie acolo, și nu un duplicat al acestuia.

În plus, un certificat SSL permite utilizatorului să verifice cine este proprietarul site-ului. Aceasta înseamnă că utilizatorul se poate asigura că a vizitat site-ul web al organizației de care are nevoie, și nu site-ul dublu al acesteia.

O altă funcție importantă a certificatelor SSL este criptarea conexiunii la Internet. O conexiune criptată este necesară pentru a preveni posibilul furt de date confidențiale în timp ce sunt transmise prin rețea.

Vă recomandăm să instalați certificate SSL în secțiunea site-ului în care utilizatorii introduc date confidențiale, de exemplu, pe paginile de autorizare și plată. Prezența unui certificat pe un site web îl protejează de posibile falsuri, deoarece utilizatorul poate întotdeauna să se asigure că site-ul web este autentic și să verifice cui îi aparține.

Din motive de securitate, certificatul SSL nu este transferabil unui alt contract.

Puteți verifica proprietatea domeniului în ordinea certificatelor prin e-mailul specificat pentru domeniu în serviciul Whois. Pentru a face acest lucru, trebuie să contactați registratorul de domenii și să înregistrați orice e-mail pentru acesta în serviciul Whois. Dacă domeniul este înregistrat în RU-CENTER, atunci pentru a face acest lucru, introduceți adresa de e-mail în contul dvs. personal:

  1. Selectați Servicii → Domeniile mele.
  2. Faceți clic pe numele domeniului ca link activ.
  3. În linie Descriere în Whois faceți clic pe link Schimbare.
  4. Introduceți adresa dvs. de e-mail și faceți clic pe butonul Salvează modificările. După aceasta, notificați-ne despre acțiunile întreprinse la .

Dacă ați generat o solicitare pentru un certificat CSR în contul personal RU-CENTER (a fost selectată opțiunea „creare CSR”), atunci cheia privată a fost salvată automat pe computer cu numele de fișier privatekey.txt. Încercați să căutați pe computer. Fără a salva fișierul, nu ați putea trece la pasul următor atunci când trimiteți comanda de certificat. Dacă cererea de certificat CSR a fost generată pe serverul dvs. sau de la un furnizor de găzduire terț, atunci cheia privată se află pe server sau, respectiv, pe furnizor. Dacă cheia privată este pierdută, trebuie să o faceți - este gratuită.

  1. Vizitați site-ul web https://www.upik.de.
  2. Alege limba Engleză.
  3. Dă click pe link UPIKR-Search cu numărul D-U-N-SR.
  4. În câmp Numărul D&B D-U-N-SR introduceți numărul DUNS.
  5. În câmp Selecteaza tara Alegeți țara.
  6. Pe cardul de companie care se deschide, puteți verifica prezența unui număr de telefon în câmp Număr de telefon.

Dacă numărul de telefon este indicat greșit sau lipsește, contactați reprezentanța rusă a companiei DUN&BRADSTREET - Interfax și introduceți sau corectați numărul de telefon pe cartela companiei. După efectuarea modificărilor, numărul de telefon de pe DUNS va apărea numai după 7-30 de zile calendaristice.

Pentru a modifica lista de domenii acoperite de certificat, trebuie să recreezi CSR-ul și să treci prin procedura de reemitere a certificatului:

1. În secțiune Pentru clientiCertificate SSLși selectați certificatul necesar.

3. Dacă doriți să creați un CSR în timpul procesului de comandă - faceți clic Continua.Dacă veți folosi CSR-ul dvs., introduceți-l în câmpul care apare. Crearea unui CSR pentru a instala un certificat pe Microsoft IIS este descrisă în instrucțiuni separate - acestea se vor deschide când selectați această opțiune.

4. Efectuați modificări în lista de domenii și faceți clic Continua.

5. Introduceți informațiile dvs. de contact și faceți clic Continua.

6. Salvați cheia privată - veți avea nevoie de ea pentru a instala certificatul pe serverul web. Clic Continua.

7. Verificați corectitudinea și faceți clic trimite o comandă.

Certificatele SSL sunt emise pentru o perioadă de 1-2 ani.

Dacă o organizație comandă un certificat pentru un domeniu care nu îi aparține, atunci trebuie să furnizeze o scrisoare de la proprietarul domeniului cu permisiunea de a emite un certificat. Modelul de scrisoare va fi trimis de centrul de certificare la adresa de e-mail de contact a clientului certificatului.

Certificatul poate confirma prezența drepturilor de gestionare a domeniului, adică poate certifica doar domeniul. Astfel de certificate aparțin categoriei. Prin vizualizarea certificatului DV, utilizatorul se poate asigura că se află într-adevăr pe site-ul a cărui adresă a fost introdusă în linia browserului, adică că la accesarea site-ului, utilizatorul nu a fost redirecționat de către atacatori către o resursă web falsă. Cu toate acestea, certificatul nu conține informații despre cine deține site-ul - certificatul nu va conține informații despre proprietarul acestuia. Acest lucru se datorează faptului că, pentru a obține un certificat, clientul nu trebuie să furnizeze dovezi documentare ale datelor sale de identificare. Prin urmare, ele pot fi fictive (de exemplu, persoana care solicită certificatul poate uzurpa identitatea unei alte persoane).

Un certificat poate confirma existența drepturilor de administrare a unui nume de domeniu și existența unei organizații care are aceste drepturi, adică poate certifica domeniul și proprietarul acestuia. Astfel de certificate aparțin categoriei. Prin vizualizarea certificatului OV, utilizatorul poate verifica că se află într-adevăr pe site-ul a cărui adresă este introdusă în linia browserului și, de asemenea, poate determina cine deține acest site. Pentru eliberarea acestui certificat, clientul trebuie să documenteze datele sale de identificare.

Un certificat SSL (din limba engleză Secure Sockets Layer) este un protocol pentru codificarea datelor care merg de la utilizator la server și înapoi.

Cum funcționează un certificat SSL?

Serverul are o cheie cu care sunt criptate orice date schimbate cu utilizatorul. Browserul utilizatorului primește o cheie unică (care este cunoscută doar de acesta) și astfel apare o situație în care doar serverul și utilizatorul pot decripta informațiile. Un hacker poate intercepta cu siguranță datele, dar este aproape imposibil să le decripteze.

De ce are nevoie de proprietarul unui site web un certificat SSL?

Dacă site-ul dvs. necesită înregistrare pentru utilizatori, achiziții online etc., atunci un certificat SSL va fi un semnal bun pentru utilizator că site-ul dvs. poate fi de încredere. Astăzi, mulți utilizatori nu știu despre acest lucru și, fără ezitare, își transferă informațiile despre cardul de credit pe diverse site-uri. Dar în viitor vor fi din ce în ce mai puțini astfel de oameni, pentru că... după prima pierdere de bani de pe un card, o persoană se gândește imediat „ce trebuie făcut pentru ca banii să nu dispară?”, „în ce site-uri se poate avea încredere?”. Ca urmare, o conexiune sigură este indicată de prezența protocolului https:// în adresa site-ului sau a acestui tip de bară de adrese în browser.

Cum să obțineți un certificat SSL?

Certificatele SSL sunt emise de autorități speciale de certificare; cele mai populare din lume sunt Thawte, Comodo și Symantec. Dar toate au o interfață în limba engleză, ceea ce creează anumite inconveniente pentru utilizatorii casnici. Prin urmare, acum există o mulțime de companii care acționează ca intermediari și vând certificate SSL. Marile companii de hosting și registratorii de domenii fac același lucru. Vă recomandăm să cumpărați certificate de la hosteri de înaltă calitate sau registratori de domenii. Mai bine, cumpără-le de la compania la care ți-ai înregistrat domeniul. De regulă, aceste companii cooperează cu centre de certificare și, din cauza volumului, au o reducere semnificativă. Prin urmare, cel mai probabil prețul final pentru tine nu se va schimba.

Ce tipuri de certificate SSL există?

Primul nivel

De regulă, astfel de certificate sunt achiziționate dacă nu este nevoie să confirmați o companie (sau nu există nicio companie, iar site-ul aparține unei persoane private), dar este nevoie doar de o conexiune sigură.

  • Cele mai ieftine
  • Timp de livrare: câteva ore
  • Ei confirmă drepturile asupra domeniului, dar nu confirmă compania
  • Pentru persoane juridice, persoane fizice și persoane fizice
  • Nu sunt necesare documente

Nivel mediu

Astfel de certificate pot confirma deja compania proprietarului domeniului, ceea ce creează mai multă încredere în rândul vizitatorilor site-ului. La urma urmei, documentele companiei sunt verificate de un centru de certificare, ceea ce ar trebui să inspire încredere maximă a utilizatorilor. În acest caz, adresa site-ului din browser este evidențiată cu verde.

  • cost mediu
  • Termen de livrare: într-o săptămână
  • Verificați compania care deține domeniul
  • Doar pentru persoane juridice
  • Sunt necesare documente care confirmă compania dumneavoastră și adresa acesteia

nivel inalt

Aceste certificate au toți indicatorii nivelului Mediu, dar prețul lor este mai scump datorită jocului de marketing al centrelor de certificare. Deci, de exemplu, le puteți utiliza nu numai pe domeniul principal, ci și pe subdomenii (de exemplu, forum.mysite.com etc.), sau utilizatorii cu browsere învechite vor putea folosi o conexiune securizată. Perioada maximă de înregistrare a certificatului depinde și de nivelul certificatului. De regulă, este de 1-4 ani de la data emiterii.

Cât costă un certificat SSL?

Prețul variază de la 30 la 1200 de dolari SUA pe an. Există însă și opțiuni gratuite, sub formă de opțiuni gratuite, deși utilizarea lor nu este în totalitate convenabilă.

Ce trebuie să obțineți?

Pentru certificate de nivel scăzut

  • e-mail (trebuie să aparțină site-ului dvs., de exemplu, pentru site-ul mysite.com e-mailul poate fi [email protected]
  • Nume sau organizație
  • Abordare

Pentru certificate de nivel superior

Aici este verificată organizația, așa că la cele enumerate mai sus va trebui să adăugați:

  • Telefon
  • Documente care confirmă organizația (număr de înregistrare a companiei sau documente similare). În general, pentru fiecare țară lista
  • documentele sunt diferite, dar fii pregatit pentru o verificare serioasa, pana in punctul in care va trebui sa trimiti o copie a contractului de prestare a serviciilor de comunicatii pentru a confirma numarul de telefon. Trimiterea copiilor scanate ale documentelor este posibilă prin fax și e-mail.

De asemenea, pentru a obține un certificat SSL, domeniul trebuie să aibă WHOIS-Protect (ascunderea datelor de domeniu) dezactivat. Astăzi, această regulă nu se aplică numai domeniilor.ru și.рф. Și totuși, generarea CSR este obligatorie.

Ce este CSR?

CSR (Certificate Signing Request) este o cerere criptată care trebuie atașată la aplicația trimisă autorității de certificare. Această solicitare trebuie să fie generată pe serverul pe care se află site-ul dvs. Procesul de generare a CSR depinde de server, sau mai exact de software-ul care este instalat pe acesta. Dacă cumpărați un certificat prin compania de găzduire unde se află site-ul dvs., atunci cel mai probabil vi se va prezenta o interfață convenabilă pentru generarea CSR. Dacă nu este acolo, atunci vă vom spune cum să o faceți pentru cel mai comun software de server (Linux\Apache).

Cum se generează CSR?

1. Conectați-vă la server prin conexiune SSH

Folosim programul PuTTY. La linia de comandă introduceți:

openssl genrsa -out myprivate.key 2048

În acest fel generăm o cheie privată privată pentru CSR. În acest caz, vor fi adresate două întrebări: „Introduceți fraza de acces pentru private.key” și „Verificare - Introduceți expresia de acces pentru myprivate.key” - aceasta este o solicitare de introducere a parolei pentru cheie de două ori. Este important să vă amintiți, pentru că... va fi necesar la pasul următor. Ca rezultat, va fi generat fișierul myprivate.key.

2. Generați CSR

Introdu comanda:

openssl req -new -key myprivate.key -out nume-domeniu.csr

Doar schimbați numele de domeniu cu numele de domeniu. Apoi, ca răspuns la întrebarea „Introduceți fraza de acces pentru myprivate.key”, introduceți parola pe care am stabilit-o la pasul anterior.

După aceea, completați numai cu litere în limba engleză:

Numele țării - Codul țării în format ISO-3166 (avem nevoie de un cod de două litere, luați-l din coloana Alpha-2);
Numele statului sau provinciei: Regiune sau regiune/stat;
Nume localitate: Oraș;
Nume organizație: Organizație;
Numele unității organizaționale: Departament (opțional);
Nume comun: nume de domeniu;
Adresa de e-mail: adresa dvs. de e-mail (câmp opțional);
O parolă de provocare: (nu este nevoie să completați);
Un nume de companie opțional: Un alt nume al organizației (nu trebuie completat).

Toate datele introduse trebuie să fie veridice și să corespundă cu cele pe care le-ați completat la înregistrarea domeniului (le puteți verifica prin serviciile WHOIS). Ca rezultat al acestor operațiuni, pe server va fi creat un fișier nume-domeniu.csr. Acesta trebuie salvat și apoi atașat la cererea pentru un certificat SSL, care este depus la autoritatea de certificare.

Ce să faci după ce primești un certificat SSL?

După primirea certificatului, trebuie să-l instalați pe server. Procesul de instalare este destul de simplu, dar variază foarte mult în funcție de software-ul serverului. Prin urmare, căutați instrucțiuni pe site-ul furnizorului de găzduire sau chiar mai bine, contactați asistența tehnică pentru a configura totul corect.

Ce să faci dacă datele organizației s-au schimbat sau găzduirea s-a schimbat?

În astfel de cazuri, trebuie să reemiteți certificatul SSL, dar acest lucru ar trebui făcut fără niciun cost pentru dvs.