Chứng chỉ SSL miễn phí cho miền Cyrillic. Từ chối chứng chỉ SSL cho tên miền và địa chỉ IP cục bộ

In

Làm cách nào để nhận chứng chỉ SSL miễn phí cho tên miền Nga bằng CloudFlare? + Tiền thưởng CDN.

(60 xếp hạng, trung bình: 5,00 ngoài 5)

Bằng cách sử dụng dịch vụ CDN CloudFlare miễn phí, bạn sẽ nhận được ít nhất hai lợi thế:

1. chứng chỉ SSL miễn phí từ dịch vụ chứng nhận đáng tin cậy được Mozilla Firefox, Google Chrome và các dịch vụ khác tin cậy;
2. mạng phân phối nội dung miễn phí cho trang web của bạn (CDN - Mạng phân phối nội dung), mạng này sẽ tăng tốc độ tải trang của nó.

Đọc bài viết để được hướng dẫn chi tiết về cách lấy nó. Chứng chỉ SSL cho miền Cyrillic. Ngoài ra, tôi sẽ giải thích tác động của chứng chỉ có vấn đề (khóa đỏ) đối với việc chuyển đổi trang web, blog hoặc cửa hàng trực tuyến.

Cảnh báo trong Google Chrome đối với trang web sử dụng giao thức https.

Liên quan đến việc phát hành phiên bản Chrome 57 mới gần đây (bắt đầu với Chrome 56) - các trang web có chứng chỉ WoSign hoặc Bắt đầuSSL- đã trở nên không thể truy cập được một phần.

Không còn ổ khóa màu xanh lá cây trên thanh địa chỉ trình duyệt.

Quà tặng miễn phí đã hết chưa? Thực ra là không - bạn sẽ tìm thấy câu trả lời trong bài viết.

Tại sao phần mềm miễn phí lại kết thúc? WoSign và StartSSL.

Trước đây đã có báo cáo (mùa thu năm 2016) rằng các trung tâm chứng nhận này không tuân thủ các yêu cầu bảo mật.

Firefox, Chrome và các trình duyệt khác sẽ không còn hiển thị ổ khóa màu xanh lá cây trên thanh địa chỉ nữa. Tôi sẽ nói thêm, bây giờ việc truy cập tài nguyên bằng các chứng chỉ này đã khó khăn hơn.

Ví dụ: Google Chrome cảnh báo về chứng chỉ xấu và hiển thị điều này cho người dùng khi mở bất kỳ trang nào trên miền.

Kẻ tấn công tôi có thể thử bắt cóc dữ liệu của bạn từ trang web.

Nhưng nó làm theo cách khiến người mở trang web có thể sợ hãi. Nếu không hiểu lý do thực sự của một tin nhắn như vậy, một người sẽ rời khỏi trang web “nguy hiểm”.

Nó trông giống như thế này:

Google Chrome: Kết nối của bạn không an toàn (NET::ERR_CERT_AUTHORITY_INVALID)

Và để có quyền truy cập vào một trang web như vậy, bạn vẫn cần phải thông minh và nhấp vào “Nâng cao” (dường như có khó khăn về dịch thuật) và tìm thấy ở đó “đi tới trang xxx”.

Google Chrome: Máy chủ không thể xác minh kết nối với miền - truy cập trang web (không an toàn)

Và sau khi xác nhận chuyển đổi sang trang web, mọi thứ trên thanh địa chỉ đều có màu đỏ:

Đến một trang web như vậy một cách mạnh mẽ niềm tin đang giảm người dùng và họ ngay lập tức rời bỏ nó. Mặc dù tôi nghi ngờ rằng họ sẽ không đóng nó ở giai đoạn trước.

Ps. Nói chung, điều này áp dụng cho các trang web không được bao gồm trong triệu đầu tiên theo Alexa, nhưng tôi không thể kiểm tra điều này.

Câu hỏi: làm thế nào để tạo ổ khóa màu xanh lá cây trên thanh địa chỉ trình duyệt?

Google Chrome và ổ khóa màu xanh lá cây trên thanh địa chỉ là một trang web đáng tin cậy.

Trả lời: Bạn cần có chứng chỉ SSL hợp lệ từ cơ quan chứng nhận (Symantec, Comodo, GlobalSign, v.v.) được các nhà sản xuất trình duyệt lớn tin cậy.

• Mua chứng chỉ có hỗ trợ IDN (tên miền quốc tế: .рф, . moskva - nói chung, các miền không phải tiếng Latinh). Không phải tất cả chứng chỉ đều có IDN và thường có giá cao hơn.
• Sử dụng dịch vụ CloudFlare miễn phí có nghĩa là gian lận.

Làm cách nào tôi có thể tạo miễn phí ổ khóa màu xanh lá cây trên thanh địa chỉ cho miền Cyrillic?

Để trang web của chúng tôi có chứng chỉ SSL tốt được Google Chrome, Mozilla Firefox, Opera và các hãng khác tin cậy, chúng tôi sẽ sử dụng dịch vụ CDN CloudFlare.

Dịch vụ này được các công ty lớn như Zendesk, Eurovision, DigitalOcean và các công ty khác tin tưởng. Toàn bộ danh sách có thể được tìm thấy tại: cloudflare.com/case-studies/.

Hướng dẫn ngắn gọn. 4 bước.

Hướng dẫn kích hoạt chứng chỉ SSL trong Cloudflare:

1. Đăng ký dịch vụ;
2. Chọn một miền và làm theo hướng dẫn của trợ lý;
3. Thay đổi máy chủ DNS cho tên miền, trong bảng điều khiển tên miền - nơi tên miền được đăng ký;
4. Kích hoạt chế độ SSL mong muốn trong bảng Cloudflare. Sẵn sàng!

Bây giờ chúng ta hãy xem xét kỹ hơn từng bước. Bạn có thể xử lý một số trong số chúng mà không cần bài viết này, nhưng ở một số bước bạn có thể gặp vấn đề trong lần đầu tiên.

Hướng dẫn chi tiết kèm theo ảnh chụp màn hình để thiết lập Cloudflare và kết nối chứng chỉ SSL miễn phí với miền của bạn.

Đăng ký với Cloudflare.

Tất cả bắt đầu bằng việc đăng ký dịch vụ Cloudflare.

Chúng tôi đã thêm trang web của mình vào bảng điều khiển đám mây và ở bước cuối cùng, chúng tôi được yêu cầu thay đổi máy chủ DNS thành máy chủ do dịch vụ cung cấp. Trong trường hợp của tôi nó là duke.ns.cloudflare.com Và olga.ns.cloudflare.com. Chúng tôi đi tới bảng điều khiển của máy chủ lưu trữ hoặc công ty đăng ký và thay đổi máy chủ tên hiện tại thành máy chủ mới.

Xin lưu ý rằng thủ tục này có thể mất thời gian. Vùng DNS có thể kéo dài từ sáu đến 48 giờ. Chà, gần đây việc này diễn ra nhanh hơn nhiều.

Kiểm tra máy chủ NS để tìm tên miền bằng Google Dig.

Điều quan trọng là trang web có IP mới. Đây sẽ là dấu hiệu cho thấy sự thay đổi DNS.

Bạn có thể kiểm tra định kỳ bằng tiện ích Dig của Google. Tọa lạc tại //toolbox.googleapps.com/apps/dig/. Ngoài các máy chủ DNS, bạn có thể kiểm tra máy chủ thư và các thông số khác ở đó.

Tất cả. Bây giờ vùng DNS đã lan rộng, cloudflyer nhìn thấy điều này và thay đổi trạng thái trang web thành Kích hoạt.

Nhận chứng chỉ SSL miễn phí năm 2017 từ CloudFlare.

Bây giờ về điều quan trọng nhất - hòa nhập https giao thức cho trang web.

Chế độ SSL CloudFlare: Đầy đủ - mặc định.

Chế độ SSL của Cloudflare - Đầy đủ

Theo mặc định, sau khi thêm trang web, chứng chỉ SSL sẽ được kết nối với miền ở chế độ Đầy đủ.

Nếu trang web của bạn đã có quyền truy cập qua HTTPS thì bạn không phải làm gì cả. Chứng chỉ SSL của trang web sẽ có hiệu lực đối với các trình duyệt.

Nhưng nếu trước đây bạn chưa có chứng chỉ SSL hoặc không muốn bận tâm đến chứng chỉ SSL thì hãy đọc tiếp.

Kích hoạt chế độ Linh hoạt trong CloudFlare.

Chuyển đến tab Tiền điện tử và bật Linh hoạt trên trang cloudflare.com/a/crypto/your_domain. Có sẵn 4 chế độ đám mây, nhưng sẽ có thêm nhiều chế độ khác vào lúc khác.

Cloudflare cảnh báo chúng tôi rằng có thể mất tới một ngày để tạo chứng chỉ SSL. Và một lúc chúng ta sẽ thấy lỗi ERR_SSL_PROTOCOL_ERROR.

Và giờ đây, trang web của chúng tôi có thể truy cập được thông qua giao thức Https, bạn có thể tự chúc mừng mình một cách an toàn - bạn đã làm được điều đó!

tái bút. Nếu trang web của bạn mở nhưng hiển thị “nội dung hỗn hợp” trong Tổng quan về bảo mật của bảng điều khiển dành cho nhà phát triển Google Chrome thì bạn cần thêm quy tắc vào CloudFlare.

Nội dung hỗn hợp trên trang web thông qua HTTPS. Quy tắc trang CloudFlare.

Để ngăn nội dung hỗn hợp trên trang web, bạn cần chuyển đến tab Quy tắc trang và định cấu hình quy tắc. Nhấp vào Tạo quy tắc trang và viết như sau:

//*tên miền của bạn/*

Và thêm cài đặt (Sau đó, cài đặt là: -> Thêm cài đặt) Luôn sử dụng HTTPS.

Tạo quy tắc để luôn sử dụng HTTPS - CloudFlare

Nhấp chuột Lưu và triển khai- và vấn đề sẽ được giải quyết.

Không thể lấy chứng chỉ SSL cho miền Cyrillic (.рф, .рус) trong bảng điều khiển VESTA

Nhân tiện, vâng. Không thể lấy chứng chỉ SSL cho các miền .рф, .рус.
Bảng điều khiển Vesta (miễn phí) hiện đang gặp sự cố với các miền Cyrillic (miền IDN, quốc gia) và tự động lấy chứng chỉ SSL từ Let's Encrypt cho chúng.
Về vấn đề này, việc lấy chứng chỉ SSL miễn phí trong VestaCP từ Let's Encrypt là một vấn đề.

Lỗi này đã được biết và hiện vẫn đang ở giai đoạn thảo luận. Trong tương lai, giải pháp sẽ có trong bản cập nhật tiếp theo. Chà, bây giờ bạn sẽ phải sử dụng CloudFlare và các chế độ Linh hoạt&Đầy đủ của chúng.

Máy khách FirstVDS có bảng điều khiển ISPmanager trên máy chủ ảo có thể cài đặt chứng chỉ Let's Encrypt miễn phí cho bất kỳ số lượng trang web nào. Let's Encrypt là chứng chỉ SSL thông thường có xác minh tên miền (DV), được cấp trong thời gian không giới hạn.

Làm cách nào để cài đặt chứng chỉ?

1. Đăng nhập vào bảng ISPmanager với quyền superuser (root).

2. Vào Integration → Modules, cài đặt plugin Let’s Encrypt miễn phí

3. Vào Cài đặt máy chủ web → Chứng chỉ SSL, chọn Let’s Encrypt

4. Chọn người dùng và miền mà bạn muốn cài đặt chứng chỉ. Tên miền phải được ủy quyền, tức là. nó phải mở trang web - nếu không chứng chỉ sẽ không được cấp. Hoàn thành phần còn lại của mẫu đơn.

5. Chứng chỉ sẽ được cài đặt tự động trên trang web có tên miền đã chọn. Đầu tiên, chứng chỉ tự ký được cài đặt trên trang web, chứng chỉ này sẽ được thay thế bằng chứng chỉ đầy đủ sau khi quá trình hoàn tất. Đợi chứng chỉ được cấp - loại sẽ thay đổi thành " hiện có».

6. Xong! Trang web của bạn được bảo vệ bằng chứng chỉ Let's Encrypt đã ký - phải có ổ khóa màu xanh lá cây trên thanh địa chỉ. Chứng chỉ có giá trị vô thời hạn.

Nó phù hợp để làm gì?

Chứng chỉ Let's Encrypt phù hợp để bảo vệ các trang web. Chứng chỉ không thể được sử dụng để ký mã và mã hóa email.

Những loại kiểm tra nào được thực hiện?

Chỉ một xác minh tên miền(DV, xác thực tên miền). Hỗ trợ kiểm tra OV và EV không có sẵn và không được lên kế hoạch.

Nó được phát hành nhanh như thế nào?

Chứng chỉ Let's Encrypt được cấp và bắt đầu hoạt động trong vòng vài phút. Điều kiện chính là miền mà chứng chỉ bị ràng buộc phải được ủy quyền. Thật dễ dàng để kiểm tra: viết tên miền của trang web vào thanh địa chỉ của trình duyệt và nhấn Enter. Nếu bạn thấy trang web của mình thì mọi thứ đều ổn - bạn có thể bắt đầu lấy chứng chỉ.

Chứng chỉ có giá trị trong bao lâu?

Mãi mãi, nếu có bảng điều khiển ISPmanager trên máy chủ. Nếu không có bảng điều khiển chứng chỉ sẽ không được gia hạn! Tại sao vậy? Chứng chỉ Let's Encrypt được cấp trong 3 tháng. Plugin ISPmanager sẽ tự động gia hạn chứng chỉ 7 ngày trước khi kết thúc giai đoạn tiếp theo. Nếu bạn xóa bảng điều khiển thì vào cuối 3 tháng tiếp theo, chứng chỉ sẽ không được gia hạn. trình duyệt lâu hơn bị phát hiện - biểu tượng HTTPS bị gạch chéo sẽ xuất hiện và cảnh báo về kết nối không an toàn. Trong trường hợp này, bạn sẽ phải cập nhật chứng chỉ theo cách thủ công 3 tháng một lần hoặc tự định cấu hình tự động gia hạn bằng phần mềm của bên thứ ba.

Chứng chỉ có được trình duyệt công nhận là đáng tin cậy không?

nó sẽ được thôi. Hầu hết các trình duyệt hiện đại đều được hỗ trợ. Thông tin chi tiết về khả năng tương thích có thể được tìm thấy trên diễn đàn hỗ trợ chính thức.

Nó có thể được sử dụng cho mục đích thương mại?

Vâng, bạn có thể. Chính vì mục đích như vậy mà chứng chỉ đã được tạo ra.

Tên mã quốc gia (IDN) có được hỗ trợ không?

Hãy mã hóa chứng chỉ hỗ trợ ID- tên miền sử dụng các ký tự từ bảng chữ cái quốc gia. Bạn có thể sử dụng chứng chỉ cho các miền Cyrillic như mosite.rf.

Tên miền phụ (ký tự đại diện) có được hỗ trợ không?

Chứng chỉ Let's Encrypt hỗ trợ ký tự đại diện. Những chứng chỉ này chỉ được xác minh thông qua bản ghi DNS.

Đa miền (SAN) có được hỗ trợ không?

KHÔNG. Bản thân chứng chỉ này hỗ trợ SAN của tối đa 100 tên miền khác nhau, nhưng quy trình liên kết tự động trong bảng điều khiển sẽ loại trừ tính năng này. Mỗi miền sẽ phải được cấu hình riêng.

Làm cách nào để thiết lập chuyển hướng tự động sang HTTPS?

Ngay cả khi chứng chỉ được cài đặt trên trang web, khách truy cập có thể nhập địa chỉ vào trình duyệt qua http://... hoặc theo liên kết cũ trong công cụ tìm kiếm. Trong trường hợp này, kết nối của anh ta sẽ không an toàn và anh ta sẽ không biết rằng trang web đó sử dụng chứng chỉ SSL để mã hóa dữ liệu được truyền đi. Để đảm bảo rằng tất cả các yêu cầu từ khách truy cập trang web đều được mã hóa bằng chứng chỉ, bạn cần định cấu hình chuyển hướng HTTP → HTTPS.

Chuyển hướng bằng cách sử dụng kết hợp Apache + Nginx

1. Trong bảng điều khiển ISPmanager, đi tới Miền → Miền WWW, chọn miền có chứng chỉ và nhấp vào Chỉnh sửa.

2. Trong cài đặt, hãy chọn hộp Chuyển hướng yêu cầu HTTP sang HTTPS và áp dụng các thay đổi.

3. Xong! Tất cả các yêu cầu tới trang web hiện đều đi qua kết nối HTTPS an toàn.

Chuyển hướng trên Apache thuần túy

Chú ý! Tất cả các thay đổi đối với tệp cấu hình Apache mà bạn thực hiện có nguy cơ của riêng mình! Các cài đặt được mô tả bên dưới sẽ hoạt động trong hầu hết các trường hợp nhưng có thể gây ra sự cố trên một số cấu hình cụ thể. Hãy tin tưởng vào các chuyên gia nếu bạn không chắc chắn về kết quả của những thay đổi được thực hiện.

1. Trong bảng điều khiển ISPmanager, đi tới Miền → Miền WWW, chọn miền có chứng chỉ và nhấp vào Cấu hình.

Chúng tôi thường xuyên nhận được yêu cầu về cách lấy chứng chỉ SSL cho tên miền cục bộ (.local) hoặc cho địa chỉ IP. Nếu trước đây có thể lấy các loại chứng chỉ SSL riêng biệt cho một địa chỉ IP hoặc tên miền nội bộ thì giờ đây, thật không may, điều này không còn khả thi nữa. Việc đặt mua chứng chỉ nội bộ như Comodo IntranetSSL không còn khả dụng nữa và chứng chỉ đa miền hỗ trợ tên miền .local cục bộ sẽ chỉ có hiệu lực đến ngày 31 tháng 10 năm 2015. Đối với các chứng chỉ SSL đã cấp trước đây cho tên miền nội bộ và địa chỉ IP, kể từ ngày 1/10/2016 chúng sẽ bị trình duyệt thu hồi hoặc chặn.

Tại sao chứng chỉ SSL bị hủy đối với tên miền IP và tên miền cục bộ?

Quyết định ngừng cấp chứng chỉ SSL cho tên miền .local và cho địa chỉ IP được đưa ra tại Diễn đàn trình duyệt và cơ quan chứng nhận (Diễn đàn CA/B).

Mục tiêu quan trọng nhất của cơ quan cấp chứng chỉ khi cấp chứng chỉ SSL là đảm bảo độ tin cậy và tin cậy bằng cách liên kết dữ liệu khóa công khai mật mã với một cá nhân hoặc công ty đã được xác minh. Chứng chỉ SSL xác định máy tính là máy chủ cung cấp một hoặc nhiều giao thức (thường là HTTP cho lưu lượng truy cập web, nhưng cũng có SMTP, POP, IMAP, FTP, XMPP, RDP và các giao thức khác) qua SSL/TLS.

Máy chủ có thể được truy cập bằng một số tên hoặc địa chỉ. Một máy chủ được kết nối với Internet thường có tên riêng trong Hệ thống tên miền (DNS), cho phép mọi hệ thống khác trên Internet phân giải tên đó thành địa chỉ IP và truy cập vào máy chủ. Ví dụ: hãy lấy một máy chủ có tên miền “server1234.site”. Hệ thống này có địa chỉ IP có thể định tuyến trên Internet - IPv4 hoặc IPv6 hoặc cả hai.

Tuy nhiên, máy chủ có thể có tên và địa chỉ bổ sung chỉ hợp lệ trong phạm vi mạng cục bộ chứ không phải trên toàn bộ Internet. Do đó, cùng một máy chủ trong ví dụ trên có thể được truy cập bởi các máy tính khác trên mạng cục bộ dưới tên “mail” hoặc “mail.local”.

Tên miền cục bộ có thể được chuyển đổi thành địa chỉ IP có thể định tuyến trên Internet hoặc thành địa chỉ IP chỉ có thể truy cập qua mạng cục bộ. Không gian địa chỉ IP "192.168.*.*" mà nhiều cổng Internet gia đình sử dụng có lẽ là chuỗi địa chỉ mạng cá nhân được biết đến nhiều nhất. Nhưng cũng có nhiều không gian địa chỉ IP IPv4 và IPv6 dành riêng cho mục đích sử dụng riêng tư hoặc mục đích khác.

Sự khác biệt chính giữa hai loại tên miền và địa chỉ IP này là tính duy nhất của chúng. P Tên miền đủ điều kiện (FQDN), chẳng hạn như “www.site”, đại diện cho một thực thể duy nhất và dễ phân biệt trên Internet (ngay cả khi nhiều máy chủ phản hồi tên miền đó thì chỉ một người có thể quản lý nó). Đồng thời, hàng nghìn hệ thống trên mạng công cộng và mạng riêng (cục bộ) có thể phản hồi một tên miền không xác định là “mail”. Trên Internet, chỉ có một nút truyền thông có địa chỉ IP “5.63.155.56”, trong khi hàng chục nghìn cổng Internet gia đình có địa chỉ “192.168.0.1”.

Chứng chỉ SSL từ các cơ quan cấp chứng chỉ tin cậy được cấp nhằm đảm bảo tính bảo mật và tin cậy cho các tên miền trên toàn Internet. Về bản chất, các tên miền không phải là duy nhất không thể được xác định bên ngoài bối cảnh địa phương của chúng, vì vậy chứng chỉ SSL được cấp cho các miền địa phương có khả năng nguy hiểm vì chúng có thể được sử dụng cho mục đích lừa đảo.

Vì lý do này mà cơ quan cấp chứng chỉ từ chối cấp chứng chỉ SSL cho các tên miền và địa chỉ IP không phải là duy nhất, chẳng hạn như “mail”, “mail.local” hoặc “192.168.0.1”.

Tại sao việc sử dụng chứng chỉ SSL cho tên miền và địa chỉ IP cục bộ lại nguy hiểm?

Ví dụ: hãy lấy trường hợp một công ty đã triển khai hệ thống email tại “https://mail/”. Hệ thống không thể truy cập được qua World Wide Web mà chỉ có thể truy cập qua mạng công ty cục bộ hoặc qua VPN. Nó có an toàn không?

Không cần thiết nếu bạn có chứng chỉ SSL cho tên miền “thư” từ cơ quan chứng nhận đáng tin cậy. Tên miền “mail” không phải là duy nhất nên hầu như ai cũng có thể nhận được chứng chỉ SSL cho “https://mail/”. Nếu kẻ tấn công sử dụng chứng chỉ như vậy trên mạng LAN công ty cùng với việc giả mạo tên cục bộ, hắn có thể dễ dàng giả mạo máy chủ email thực sự của công ty và lấy thông tin đăng nhập của người dùng cũng như thông tin nhạy cảm khác. Hơn nữa, kẻ lừa đảo thậm chí không cần phải vào mạng công ty để thực hiện thành công một cuộc tấn công. Nếu người dùng kết nối máy tính xách tay của công ty họ với mạng WiFi công cộng, ứng dụng email có thể tự động cố gắng kết nối với “https://mail/” trước khi kết nối VPN được thiết lập. Tại thời điểm này, kẻ tấn công có thể thay thế và đánh cắp dữ liệu người dùng.

Cần lưu ý ở đây rằng việc chứng chỉ SSL được sử dụng từ cơ quan cấp chứng chỉ đáng tin cậy nổi tiếng (như Comdo, Thawte, Symantec và các tổ chức khác) hay chứng chỉ SSL tự ký từ cơ quan cấp chứng chỉ công ty tư nhân không quan trọng. Nếu chứng chỉ SSL mà kẻ lừa đảo sử dụng được liên kết với tổ chức phát hành chứng chỉ trong bộ lưu trữ của trình duyệt hoặc hệ điều hành, thì chứng chỉ đó sẽ được tất cả khách hàng chấp nhận, tạo ra lỗ hổng ngay cả ở phía người dùng cơ sở hạ tầng khóa riêng (PKI).

Do không thể tiến hành kiểm tra toàn bộ tên miền và địa chỉ IP cục bộ cũng như khả năng cao sử dụng các chứng chỉ SSL đó cho mục đích lừa đảo nên CA và Diễn đàn trình duyệt đã quyết định ngừng cấp chúng.

Các lựa chọn thay thế là gì?

1. Sử dụng tên miền đủ điều kiện (FQDN) và tra cứu DNS của hậu tố tên miền.

Nhiều trang web có thể truy cập bằng tên miền cục bộ cũng có thể được FQDN truy cập và xác định chính xác vì phần mềm máy khách DNS sử dụng quy trình gọi là tra cứu hậu tố, trong đó hậu tố được định cấu hình sẽ được thêm vào tên cục bộ và kết quả là miền FQDN đủ điều kiện. Thông thường, điều này xảy ra tự động đối với các miền mà hệ thống là một phần. Ví dụ: một hệ thống có tên “client.example.com” sử dụng “example.com” làm hậu tố tìm kiếm của nó. Khi cố gắng thiết lập kết nối với tên "máy chủ", hệ thống này sẽ tự động cố gắng tìm "server.example.com" thông qua tra cứu DNS. Bạn có thể tự định cấu hình tìm kiếm DNS cho hậu tố tên miền.

Nếu bạn sử dụng miền .local cho mạng nội bộ của mình, phương pháp này sẽ không phù hợp với bạn; chúng tôi khuyên bạn nên cân nhắc những điều sau.

Khi kẻ tấn công cố gắng truy cập trang web của bạn, nó có thể bị giả mạo ngay cả khi người dùng nhập tên miền chính xác.

Chứng chỉ SSL loại bỏ khả năng thay thế như vậy - bằng cách xem chứng chỉ, người dùng có thể đảm bảo rằng miền lưu trữ chính xác trang web cần có ở đó chứ không phải là bản sao của nó.

Ngoài ra, chứng chỉ SSL cho phép người dùng xác minh ai là chủ sở hữu trang web. Điều này có nghĩa là người dùng có thể đảm bảo rằng anh ta đã truy cập trang web của tổ chức mà anh ta cần chứ không phải trang web kép của tổ chức đó.

Một chức năng quan trọng khác của chứng chỉ SSL là mã hóa kết nối Internet. Kết nối được mã hóa là cần thiết để ngăn chặn khả năng bị đánh cắp dữ liệu bí mật trong khi truyền qua mạng.

Chúng tôi khuyên bạn nên cài đặt chứng chỉ SSL trong phần của trang web nơi người dùng nhập dữ liệu bí mật, chẳng hạn như trên trang ủy quyền và thanh toán. Sự hiện diện của chứng chỉ trên trang web sẽ bảo vệ nó khỏi bị giả mạo vì người dùng luôn có thể đảm bảo rằng trang web đó là chính hãng và kiểm tra xem nó thuộc về ai.

Vì lý do bảo mật, chứng chỉ SSL không thể chuyển nhượng sang hợp đồng khác.

Bạn có thể kiểm tra quyền sở hữu miền theo thứ tự chứng chỉ thông qua email được chỉ định cho miền trong dịch vụ Whois. Để thực hiện việc này, bạn cần liên hệ với nhà đăng ký tên miền và đăng ký bất kỳ email nào cho tên miền đó trong dịch vụ Whois. Nếu miền được đăng ký tại RU-CENTER, thì để thực hiện việc này, hãy nhập email của bạn vào tài khoản cá nhân của bạn:

1. Lựa chọn Dịch vụ → Tên miền của tôi.
2. Nhấp vào tên miền dưới dạng liên kết hoạt động.
3. Trong dòng Mô tả trong Whois nhấp vào liên kết Thay đổi.
4. Nhập email của bạn và nhấp vào nút Lưu thay đổi. Sau đó, hãy thông báo cho chúng tôi về các hành động được thực hiện tại .

Nếu bạn đã tạo yêu cầu chứng chỉ CSR trong tài khoản cá nhân RU-CENTER của mình (tùy chọn “tạo CSR” đã được chọn), thì khóa riêng tư sẽ tự động được lưu trên máy tính của bạn với tên tệp Privatekey.txt. Hãy thử tìm kiếm trên máy tính của bạn. Nếu không lưu tệp, bạn sẽ không thể tiến hành bước tiếp theo khi gửi đơn đặt hàng chứng chỉ của mình. Nếu yêu cầu chứng chỉ CSR được tạo trên máy chủ của bạn hoặc từ nhà cung cấp dịch vụ lưu trữ bên thứ ba thì khóa riêng tương ứng sẽ nằm trên máy chủ hoặc nhà cung cấp. Nếu khóa riêng bị mất, bạn cần phải làm điều đó - nó miễn phí.

1. Truy cập trang web https://www.upik.de.
2. Chọn ngôn ngữ Tiếng Anh.
3. Nhấp vào liên kết UPIKR-Tìm kiếm với số D-U-N-SR.
4. Trong lĩnh vực Số D&B D-U-N-SR nhập số DUNS.
5. Trong lĩnh vực Chọn quốc gia Chọn quốc gia.
6. Trên thẻ công ty mở ra, bạn có thể kiểm tra sự hiện diện của số điện thoại trong trường Số điện thoại.

Nếu số điện thoại được ghi không chính xác hoặc bị thiếu, hãy liên hệ với văn phòng đại diện tại Nga của công ty DUN&BRADSTREET - Interfax và nhập hoặc sửa số điện thoại trong thẻ công ty. Sau khi thực hiện thay đổi, số điện thoại trên DUNS của bạn sẽ chỉ xuất hiện sau 7-30 ngày theo lịch.

Để thay đổi danh sách miền được cấp chứng chỉ, bạn phải tạo lại CSR và thực hiện thủ tục cấp lại chứng chỉ:

1. Trong phần Dành cho khách hàng → Chứng chỉ SSL và chọn chứng chỉ cần thiết.

3. Nếu bạn muốn tạo CSR trong quá trình đặt hàng - hãy nhấp vào Tiếp tục.Nếu bạn định sử dụng CSR của mình, hãy nhập nó vào trường xuất hiện. Tạo CSR để cài đặt chứng chỉ trên Microsoft IIS được mô tả trong hướng dẫn riêng - chúng sẽ mở khi bạn chọn tùy chọn này.

4. Thực hiện thay đổi đối với danh sách tên miền và nhấp vào Tiếp tục.

5. Nhập thông tin liên hệ của bạn và nhấp vào Tiếp tục.

6. Lưu khóa riêng - bạn sẽ cần nó để cài đặt chứng chỉ trên máy chủ web. Nhấp chuột Tiếp tục.

7. Kiểm tra tính chính xác và nhấp vào gửi đơn đặt hàng.

Chứng chỉ SSL được cấp trong khoảng thời gian 1-2 năm.

Nếu một tổ chức yêu cầu chứng chỉ cho một tên miền không thuộc về nó thì tổ chức đó phải cung cấp thư từ chủ sở hữu tên miền cho phép cấp chứng chỉ. Mẫu thư sẽ được trung tâm chứng nhận gửi đến địa chỉ email liên hệ của khách hàng chứng nhận.

Chứng chỉ có thể xác nhận sự hiện diện của quyền quản lý tên miền, nghĩa là nó chỉ có thể chứng nhận tên miền. Những chứng chỉ như vậy thuộc về thể loại này. Bằng cách xem chứng chỉ DV, người dùng có thể đảm bảo rằng mình thực sự đang ở trên trang web có địa chỉ đã được nhập vào dòng trình duyệt, nghĩa là khi truy cập trang web, người dùng không bị kẻ tấn công chuyển hướng đến tài nguyên web giả mạo. Tuy nhiên, chứng chỉ không chứa thông tin về người sở hữu trang web - chứng chỉ sẽ không chứa thông tin về chủ sở hữu của nó. Điều này là do thực tế là để có được chứng chỉ, khách hàng không cần phải cung cấp bằng chứng tài liệu về dữ liệu nhận dạng của mình. Do đó, chúng có thể là hư cấu (ví dụ: người yêu cầu chứng chỉ có thể mạo danh người khác).

Chứng chỉ có thể xác nhận sự tồn tại của quyền quản lý tên miền và sự tồn tại của một tổ chức có các quyền này, nghĩa là nó có thể chứng nhận tên miền và chủ sở hữu của nó. Những chứng chỉ như vậy thuộc về thể loại này. Bằng cách xem chứng chỉ OV, người dùng có thể xác minh rằng mình thực sự đang ở trên trang web có địa chỉ được nhập vào dòng trình duyệt, đồng thời xác định ai sở hữu trang web này. Để cấp chứng chỉ này, khách hàng phải ghi lại dữ liệu nhận dạng của mình.

Chứng chỉ SSL (từ Lớp cổng bảo mật tiếng Anh) là một giao thức mã hóa dữ liệu đi từ người dùng đến máy chủ và ngược lại.

Chứng chỉ SSL hoạt động như thế nào?

Máy chủ có một khóa mà mọi dữ liệu trao đổi với người dùng đều được mã hóa. Trình duyệt của người dùng nhận được một khóa duy nhất (chỉ có nó mới biết) và do đó sẽ xảy ra tình huống trong đó chỉ có máy chủ và người dùng mới có thể giải mã thông tin. Hacker chắc chắn có thể chặn dữ liệu nhưng gần như không thể giải mã được.

Tại sao chủ sở hữu trang web cần chứng chỉ SSL?

Nếu trang web của bạn yêu cầu người dùng đăng ký, mua hàng trực tuyến, v.v. thì chứng chỉ SSL sẽ là tín hiệu tốt cho người dùng rằng trang web của bạn có thể đáng tin cậy. Ngày nay, nhiều người dùng không biết về điều này và không ngần ngại chuyển thông tin thẻ tín dụng của mình đến nhiều trang web khác nhau. Nhưng trong tương lai sẽ ngày càng ít những người như vậy, bởi vì... Sau lần mất tiền đầu tiên từ thẻ, một người nghĩ ngay “cần phải làm gì để tiền không biến mất?”, “trang web nào có thể tin cậy được?”. Do đó, kết nối an toàn được biểu thị bằng sự hiện diện của giao thức https:// trong địa chỉ trang web hoặc loại thanh địa chỉ này trong trình duyệt.

Làm cách nào để có được chứng chỉ SSL?

Chứng chỉ SSL được cấp bởi các cơ quan chứng nhận đặc biệt; phổ biến nhất trên thế giới là Thawte, Comodo và Symantec. Nhưng chúng đều có giao diện tiếng Anh nên tạo ra những bất tiện nhất định cho người dùng trong nước. Chính vì vậy hiện nay có rất nhiều công ty đứng ra làm trung gian và bán chứng chỉ SSL. Các công ty lưu trữ lớn và nhà đăng ký tên miền cũng làm như vậy. Chúng tôi khuyên bạn nên mua chứng chỉ từ các nhà cung cấp dịch vụ lưu trữ hoặc nhà đăng ký tên miền chất lượng cao. Tốt hơn hết, hãy mua chúng từ công ty mà bạn đã đăng ký tên miền. Theo quy định, các công ty này hợp tác với các trung tâm chứng nhận và do số lượng lớn nên có mức chiết khấu đáng kể. Vì vậy, mức giá cuối cùng dành cho bạn rất có thể sẽ không thay đổi.

Có những loại chứng chỉ SSL nào?

Cấp độ đầu tiên

Theo quy định, các chứng chỉ đó được mua nếu không cần xác nhận công ty (hoặc hoàn toàn không có công ty nào và trang web thuộc về một cá nhân), nhưng chỉ cần có kết nối an toàn.

• Rẻ nhất
• Thời gian giao hàng: vài giờ
• Họ xác nhận quyền đối với tên miền, nhưng không xác nhận công ty
• Đối với pháp nhân, cá nhân và cá nhân
• Không cần tài liệu

Mức độ trung bình

Những chứng chỉ như vậy có thể xác nhận công ty của chủ sở hữu tên miền, điều này tạo thêm niềm tin cho khách truy cập trang web. Xét cho cùng, các tài liệu của công ty đều được kiểm tra bởi một trung tâm chứng nhận, điều này sẽ mang lại sự tin cậy tối đa cho người dùng. Trong trường hợp này, địa chỉ trang web trong trình duyệt được tô sáng màu xanh lục.

• chi phí trung bình
• Thời gian giao hàng: trong vòng một tuần
• Xác minh công ty sở hữu tên miền
• Chỉ dành cho pháp nhân
• Cần có tài liệu xác nhận công ty của bạn và địa chỉ của nó

cấp độ cao

Các chứng chỉ này có tất cả các chỉ số ở mức Trung bình, nhưng giá của chúng đắt hơn do trò chơi tiếp thị của các trung tâm chứng nhận. Vì vậy, ví dụ: bạn có thể sử dụng chúng không chỉ trên tên miền chính mà còn trên tên miền phụ (ví dụ: forum.mysite.com, v.v.) hoặc người dùng có trình duyệt lỗi thời sẽ có thể sử dụng kết nối an toàn. Thời gian đăng ký chứng chỉ tối đa cũng phụ thuộc vào cấp độ chứng chỉ. Theo quy định, đó là 1-4 năm kể từ ngày phát hành.

Chứng chỉ SSL có giá bao nhiêu?

Giá dao động từ 30 đến 1200 đô la Mỹ mỗi năm. Nhưng cũng có những lựa chọn miễn phí, dưới dạng tùy chọn miễn phí, mặc dù việc sử dụng chúng không hoàn toàn thuận tiện.

Bạn cần có được gì?

Đối với chứng chỉ cấp thấp

• e-mail (nó phải thuộc về trang web của bạn, ví dụ: đối với trang mysite.com, email có thể là [email được bảo vệ]
• Tên hoặc tổ chức
• Địa chỉ

Đối với chứng chỉ cấp cao hơn

Đây là nơi tổ chức được kiểm tra, vì vậy, bạn sẽ phải thêm vào những gì được liệt kê ở trên:

• Điện thoại
• Tài liệu xác nhận tổ chức (số đăng ký công ty hoặc tài liệu tương tự). Nhìn chung, đối với mỗi quốc gia, danh sách
• Các tài liệu thì khác nhau, nhưng hãy chuẩn bị cho một cuộc kiểm tra nghiêm túc, đến mức bạn sẽ phải gửi bản sao hợp đồng cung cấp dịch vụ liên lạc để xác nhận số điện thoại. Có thể gửi bản sao quét tài liệu bằng fax và email.

Ngoài ra, để có được chứng chỉ SSL, miền phải tắt WHOIS-Protect (ẩn dữ liệu miền). Ngày nay quy tắc này không chỉ áp dụng cho domains.ru và.рф. Chưa hết, việc tạo CSR là bắt buộc.

CSR là gì?

CSR (Yêu cầu ký chứng chỉ) là một yêu cầu được mã hóa phải được đính kèm với ứng dụng được gửi đến cơ quan chứng nhận. Yêu cầu này phải được tạo trên máy chủ nơi đặt trang web của bạn. Quá trình tạo CSR phụ thuộc vào máy chủ, hay chính xác hơn là vào phần mềm được cài đặt trên đó. Nếu bạn mua chứng chỉ thông qua công ty lưu trữ nơi đặt trang web của bạn, thì rất có thể bạn sẽ được cung cấp một giao diện thuận tiện để tạo CSR. Nếu nó không có ở đó thì chúng tôi sẽ cho bạn biết cách thực hiện điều đó đối với phần mềm máy chủ phổ biến nhất (Linux\Apache).

Làm cách nào để tạo CSR?

1. Kết nối với máy chủ thông qua kết nối SSH

Chúng tôi sử dụng chương trình PuTTY. Tại dòng lệnh nhập:

openssl genrsa -out myprivate.key 2048

Bằng cách này, chúng tôi tạo khóa riêng cho CSR. Trong trường hợp này, hai câu hỏi sẽ được đặt ra: “Nhập cụm mật khẩu cho khóa riêng tư” và “Xác minh - Nhập cụm mật khẩu cho myprivate.key” - đây là yêu cầu nhập mật khẩu cho khóa hai lần. Điều quan trọng là bạn phải nhớ nó, bởi vì... sẽ cần thiết ở bước tiếp theo. Kết quả là tệp myprivate.key sẽ được tạo.

2. Tạo CSR

Nhập lệnh:

openssl req -new -key myprivate.key -out tên miền.csr

Chỉ cần thay đổi tên miền thành tên miền của bạn. Sau đó, để trả lời câu hỏi “Nhập cụm mật khẩu cho myprivate.key”, hãy nhập mật khẩu mà chúng tôi đã đặt ở bước trước.

Sau đó chỉ điền các chữ cái tiếng Anh:

Tên quốc gia - Mã quốc gia ở định dạng ISO-3166 (chúng tôi cần mã gồm hai chữ cái, lấy từ cột Alpha-2);
Tên Tiểu bang hoặc Tỉnh: Vùng hoặc vùng\tiểu bang;
Tên địa phương: Thành phố;
Tên tổ chức: Tổ chức;
Tên đơn vị tổ chức: Phòng ban (không bắt buộc);
Common Name: tên miền;
Địa chỉ Email: email của bạn (trường tùy chọn);
Mật khẩu thử thách: (không cần điền);
Tên công ty tùy chọn: Tên khác của tổ chức (không cần điền).

Tất cả dữ liệu được nhập phải trung thực và khớp với dữ liệu bạn đã điền khi đăng ký miền (bạn có thể kiểm tra chúng thông qua dịch vụ WHOIS). Kết quả của những hoạt động này là tệp domain-name.csr sẽ được tạo trên máy chủ. Nó phải được lưu và sau đó được đính kèm với đơn đăng ký chứng chỉ SSL, được nộp cho cơ quan cấp chứng chỉ.

Phải làm gì sau khi nhận được chứng chỉ SSL?

Sau khi nhận được chứng chỉ, bạn cần cài đặt nó trên máy chủ. Quá trình cài đặt khá đơn giản nhưng thay đổi rất nhiều tùy thuộc vào phần mềm máy chủ. Do đó, hãy tìm hướng dẫn trên trang web của nhà cung cấp dịch vụ lưu trữ hoặc tốt hơn nữa là liên hệ với bộ phận hỗ trợ kỹ thuật để thiết lập mọi thứ chính xác.

Phải làm gì nếu dữ liệu của tổ chức thay đổi hoặc máy chủ lưu trữ thay đổi?

Trong những trường hợp như vậy, bạn cần cấp lại chứng chỉ SSL nhưng việc này sẽ được thực hiện miễn phí.