Ssl сертифікат безкоштовно

Як вибрати ssl сертифікат? Різновиди цифрових SSL сертифікатів.

11.10.2015

Як вибрати ssl сертифікат? Різновиди цифрових SSL сертифікатів.

30 серпня 2012 р.

Існує досить багато цифрових сертифікатів, кожен з яких служить для своїх цілей. Найбільш поширений тип сертифікатів це природно SSL сертифікати. які також мають кілька підвидів. Також існують Code Signing сертифікати, Website Anti Virus Scanner сертифікати і Unified Communications сертифікати.

Оскільки ми займаємося продажем всіх видів сертифікатів, то накопичилося деяку кількість досвіду за сертифікатами і знань як правильно підібрати потрібний сертифікат для конкретної ситуації. Постараюся в декількох постах поділитися цією інформацією.

Так що якщо у вас стоїть завдання підняти захищене https з’єднання для вашого сайту, то в цьому пості я постараюся розкрити всі тонкощі і особливості SSL сертифікатів, щоб зробити правильний вибір було простіше.

Почнемо з найпоширеніших SSL сертифікатів .

Як вибрати ssl сертифікат? Різновиди цифрових SSL сертифікатів.
SSL сертифікати найпоширеніший на даний момент тип сертифікатів в Інтернет. Найчастіше вони використовуються в інтернет-магазинах, тобто на сайтах, де є функція замовлення і де клієнт вводить свої персональні дані. Для того, щоб ці дані в момент передачі з браузера на сервер неможливо було перехопити використовується спеціальний протокол HTTPS, який шифрує всі передані дані.

Для того, щоб активувати можливість роботи протоколу HTTPS якраз і потрібні цифрові SSL сертифікати (також потрібно виділений IP для конкретного сайту).

Що таке SSL сертифікат?

SSL — це скорочення від Secure Socket Layer — це стандартна інтернет технологія безпеки, яка використовується, щоб забезпечити зашифроване з’єднання між веб-сервером (сайтом) і браузером. SSL сертифікат дозволяє нам використовувати https протокол. Це безпечне з’єднання, яке гарантує, що інформація, яка передається від вашого браузера на сервер залишається приватною; то є захищеною від хакерів або будь-якого, хто хоче вкрасти інформацію. Один з найпоширеніших прикладів використання SSL — це захист клієнта під час онлайн транзакції (купівлі товару, оплати).

Як отримати SSL сертифікат?

Самий простий і безкоштовний спосіб — це використовувати, так званий, самоподписной сертифікат (self-signed), який можна відтворити прямо на веб-сервері. До речі у всіх найпопулярніших панелі управління хостингом (Cpanel, ISPmanager, Directadmin) ця можливість доступна за замовчуванням, тому технічну сторону процесу створення сертифіката ми зараз опустимо.

Плюс самоподпісного сертифіката — це його ціна, точніше її відсутність, так як ви не платите ні копійки, за такий сертифікат. А ось з мінусів — це те, що на такий сертифікат всі браузери будуть видавати помилку, з попередженням, що сайт не перевірений.

Як вибрати ssl сертифікат? Різновиди цифрових SSL сертифікатів.
>тобто для службових цілей і для внутрішнього використання, такі сертифікати підходять, а от для публічних сайтів, а тим більше для сайтів, які продають послуги, такі сертифікати протипоказані. Посудіть самі, чи хотіли б ви, щоб ваш клієнт при замовленні послуги побачив ось таку помилку на весь екран? Як показує практика, більшість клієнтів така сторінка вводить в ступор і відбиває бажання продовжувати замовлення далі.

Чому ж браузери видають таке попередження для самоподписных сертифікатів і як цього уникнути? Щоб відповісти на це питання потрібно трохи розповісти про самі принципи роботи SSL сертифікатів .

За яким принципом працює SSL сертифікат?

Отже для того, щоб отримати SSL сертифікат найперше, що потрібно зробити, це сформувати спеціальний запит на випуск сертифіката, так званий (Certificate Signing Request). При формуванні запиту вам буде поставлено ряд питань, для уточнення деталей про вашому домені і вашої компанії. Після завершення ваш веб-сервер створить 2 типу криптографічних ключів — приватний ключ і публічний ключ.

Публічний ключ не є секретним і він поміщається в запит CSR.

Ось приклад такого запиту:

Дані які містяться в цьому ключі можна легко перевірити за допомогою сервісів CSR Decoder. Як приклад: CSR Decoder 1 або CSR Decoder 2. Другий сервіс видає більше інформації про CSR і перевіряє її на валідність, поле Signature в результатах перевірки.

Якщо ми вставимо такий запит у форму для його розшифровки, то побачимо, які дані містяться в публічному ключі.

CSR Information:

  • Common Name: tuthost.ua — доменне ім’я, яке ми захищаємо таким сертифікатом
  • Organization: TutHost — назва організації, якій належить домен
  • Organization Unit: Hosting department — підрозділ організації
  • Locality: Kiev — місто, де знаходиться офіс організації
  • State: Kiev — область або штат
  • Country: UA — дволітерний код країни офісу.
  • Email: support@tuthost.com — контактний email технічного адміністратора або служби підтримки

Важливий момент — зверніть увагу на полі Country — формат цього поля має на увазі тільки дволітерний код за стандартом ISO 3166-1, якщо ви не впевнені у коді вашої країни, то перевірити його можна наприклад тут: Таблиця ISO-3166-1. Я звертаю увагу на це поле, тому, що найчастіша помилка у наших клієнтів при генерації запиту CSR — це неправильний код країни. І як наслідок з такою CSR здійснити випуск сертифіката неможливо.

Після того як CSR згенерований ви можете приступати до оформлення заявки на видачу сертифіката. Під час цього процесу центр сертифікації (CA — Certification Authority) проведе перевірку введених вами даних, і після успішної перевірки випустить SSL сертифікат з вашими даними дозволить вам використовувати SSL. Ваш сервер автоматично порівняє випущений сертифікат, зі згенерованим приватним ключем. Це означає, що ви готові надавати зашифроване і безпечне з’єднання між вашим сайтом і браузером клієнтів.

Які дані містить у собі SSL сертифікат?

У сертифікаті зберігається наступна інформація:

  • повне (унікальне) ім’я власника сертифіката
  • відкритий ключ власника
  • дата видачі сертифіката ssl
  • дата закінчення сертифіката
  • повне (унікальне) ім’я центру сертифікації
  • цифровий підпис видавця

Що таке центри сертифікації (CA)?

Це організація, яка володіє правом видачі цифрових сертифікатів. Вона виробляє перевірку даних, що містяться в CSR, перед видачею сертифіката. У найпростіших сертифікатах перевіряється тільки відповідність доменного імені, в найдорожчих проводиться цілий ряд перевірок самої організації, яка запитує сертифікат. Про це ми поговоримо нижче.

Так от, різниця між самоподписными безкоштовними і платними сертифікатами, виданими центром сертифікації як раз і полягає в тому, що дані в сертифікаті перевірені центром сертифікації і при використанні такого сертифіката на сайті ваш відвідувач ніколи не побачить величезну помилку на весь екран.

Кажучи загалом, SSL сертифікати містять і відображують (як мінімум одне з) ваше доменне ім’я, вашу назву організації, адресу, місто і сторінку. Також сертифікат завжди має дату закінчення та дані про центр сертифікації, відповідального за випуск сертифіката. Браузер підключається до захищеного сайту, отримує від нього SSL сертифікат і робить ряд перевірок: він не прострочений сертифікат, потім він перевіряє, випущений сертифікат йому відомим центром сертифікації (CA) використовується сертифікат на сайті, для якого він був випущений.

Якщо один з цих параметрів не проходить перевірку, браузер відображає попередження відвідувачу, щоб повідомити, що цей сайт не використовує безопастное з’єднання SSL. Він пропонує залишити сайт або продовжити перегляд, але з великою обережністю. Це останнє, що ви повинні побачити ваші потенційні клієнти.

Центрів сертифікації існує досить багато, ось перелік найбільш популярних:

  • Comodo — працює з 1998 штабквартира в Jersey City, New Jersey, США.
  • Geotrust — заснований в 2001, 2006 продан Verisign, штабквартира Mountain View, California, США
  • Symantec — колишній Verisign до складу якого входить і Geotrust. Купив в 2010 році.
  • Thawte — заснований в 1995, проданий Verisign 1999.
  • Trustwave — працює з 1995, штабквартира Chicago, Illinois, США.

Як бачимо найбільший гравець на ринку SSL сертифікатів це Symantec. який володіє трьома найбільшими центрами сертифікації — Thawte, Verisgin і Geotrust.

чи Є різниця в якому центрі сертифікації замовляти сертифікат?

Основна відмінність між різними центрами сертифікації — в ціні сертифікатів і те, в якій кількості браузерів встановлено їх кореневий сертифікат. Адже якщо в браузері немає корневного сертифіката цього центру сертифікації, то відвідувач з таким браузером все одно отримає помилку при вході на сайт з сертифікатом від такого центру.

Що стосується перерахованих вище центрів сертифікації, то їх кореневі сертифікати встановлено, мабуть, 99,99% всіх існуючих браузерів.

Щоб перевірити, кореневі сертифікати яких центрів сертифікації встановлені у вашому браузері, достатньо в налаштуваннях вашого браузера знайти таку опцію. (В Chrome Налаштування -> показати додаткові параметри -> керування сертифікатами -> Довірені кореневі центри сертифікації). У Chrome встановлено понад 50 таких кореневих сертифікатів.

Важливий момент — частенько у клієнтів виникала ситуація, коли SSL сертифікат на сервері встановлений, але при заході на сайт браузер все одно видає помилку. Така ситуація може виникнути або із-за відсутності у файлі ca-bundle.crt кореневого сертифіката центру, що видав сертифікат або з-за того, що кореневий сертифікат застарів. Кореневі сертифікати мають строк дії (в браузерах вони оновлюються при оновленні браузера).

З липня 2010 року сертифікаційні центри перейшли на використання ключів 2048bit RSA Keys, тому для коректної роботи всіх нових сертифікатів необхідно встановлювати нові кореневі сертифікати.

Якщо нові кореневі сертифікати не встановлені — це може викликати проблеми з правильною установкою сертифіката і розпізнаванням його деякими з браузерів.

Посилання на сторінки центрів сертифікації, де можна скачати нові кореневі сертифікати дані нижче.

RapidSSL Certificate

GeoTrust SSL Certificates

Thawte SSL Certificates

VeriSign SSL Certificates

Купувати сертифікати безпосередньо біля центрів сертифікації невигідно, так як ціна для кінцевих користувачів у них істотно вище, ніж для партнерів, до того, ж якщо вам потрібно закрити таку покупку в бухгалтерії, то з цим теж будуть складності. Найвигідніше купувати такі сертифікати через партнерів. Партнери закуповують сертифікати оптом і мають спеціальні ціни, що дозволяє продавати сертифікати набагато дешевше, ніж безпосередньо в центрі сертифікації.

Які види SSL сертифікатів існують?

Між собою сертифікати відрізняються властивостями і рівнем валідації.

Типи сертифікатів за типом валідації

  • Сертифікати, які підтверджують тільки доменне ім’я (Domain Validation — DV).
  • Сертифікати, які підтверджують домен і торгівлі (Organization Validation — OV).
  • Сертифікати, з розширеною перевіркою (Extendet Validation — EV).

Розберемося з ними по порядку:

Сертифікати, що підтверджують тільки домен

Це найпростіші сертифікати, це ваш вибір якщо сертифікат вам потрібен терміново, так як вони випускаються автоматично та миттєво.

При перевірці такого сертифіката надсилається лист із спеціальним посиланням, по якому потрібно клікнути, щоб підтвердити випуск сертифіката.

Важливий момент. що це лист може бути надіслано тільки на так званий approver email, який ви вказуєте при замовленні сертифіката. І до адресою approver email є певні вимоги, він повинен бути або в тому ж домені для якого ви замовляєте сертифікат, або він має бути зазначений у whois домену.

Якщо ви вказуєте email в тому ж домені, що і сертифікат, то вказувати будь-emal теж не можна, він повинен відповідати одному з шаблонів:

Важливий момент: іноді сертифікати з моментальним випуском потрапляють на додаткову ручну перевірку Центром сертифікації сертифікати для перевірки вибираються випадковим чином. Так що завжди варто пам’ятати, що є невеликий шанс, що ваш сертифікат буде випущений не моментально.

Сертифікати SSL з валідацією домену випускаються, коли центр сертифікації перевірив, що заявник має права на вказане доменне ім’я. Перевірка інформації про організації не проводиться ніяка інформація про організацію в сертифікаті не відображається.

Сертифікати з валідацією організації.

У такому сертифікаті буде вказано назву організації. Такий сертифікат приватна особа отримати не може. Термін видачі таких сертифікатів, як правило, від 3 до 10 робочих днів, залежить від центру сертифікації.

Процес видачі сертифікатів OV

Після отримання запиту на випуск сертифіката з перевіркою організації центр сертифікації проводить перевірку, реально існує така організація, як зазначено в CSR і належить їй вказаний домен.

Що перевіряється в таких випадках?

У різних центрів сертифікації перевірка дещо відрізняється, тому наведу загальний список пунктів, які можуть бути перевірені або запитані:

  1. Наявність в організації міжнародних жовтих сторінках — перевіряється не всіма центрами сертифации
  2. Наявність в whois домену назви вашої організації — а ось це вже обов’язково перевірять, і якщо таку назву там не вказано від вас скоріше всього зажадають гарантійний лист, в якому потрібно вказати, що домен дійсно належить організації, іноді можуть зажадати підтвердження від реєстратора
  3. Свідоцтво про державну реєстрацію — вимагають все рідше, частіше зараз проводиться перевірка через спеціальні компанії, які виробляють перевірку існування організації по своїх каналах. Наприклад, для України вас можуть перевірити по базі ЄДРПОУ
  4. Рахунок від телефонної компанії, в якій міститься назва вашої організації і ваш номер телефону, вказаний в замовленні — таким чином перевіряється валідність вашого телефону. Вимагають все рідше.
  5. Контрольний дзвінок — все частіше правильність телефону перевіряють здійснюючи дзвінок на номер телефону, вказаний в замовленні. При дзвінку запитають співробітника, зазначеного в адміністративному контакті. Не у всіх центрів сертифікації є російськомовні співробітники, тому попередьте людини, який відповідає на телефон, що можливий дзвінок від англомовної компанії.

Сертифікати з розширеною перевіркою.

Це найдорожчі сертифікати і отримати їх складніше всього. У таких сертифікатах є так званий «green bar» — тобто при вході не сайт, де встановлено такий сертифікат в адресному рядку браузера відвідувача з’явиться зелена рядок, в якій буде зазначено назву організації, що отримала сертифікат.

Ось як це виглядає на сайті у Thawte.

Такі сертифікати володіють найбільшим рівнем довіри, серед просунутих відвідувачів вашого сайту, оскільки сертифікат вказує, що компанія реально існує, пройшов повну перевірку і сайт дійсно належить їй.

SSL сертифікати з розширеною перевіркою (EV) випускаються тільки коли центр сертифікації (CA) виконує дві перевірки, щоб переконатися, що організація має право використовувати певний домен плюс центр сертифікації виконує ретельну перевірку самої організації. Процес випуску сертифікатів EV стандартизований і повинен строго відповідати правилам EV, які були створені на спеціалізованому форумі CA/Browser Forum в 2007 році. Там вказані необхідні кроки, які центр сертифікації повинен виконати перед випуском EV сертифіката:

  1. Повинен перевірити правову, фізичну і операційну діяльність суб’єкта.
  2. Повинен переконатися, що організація відповідає офіційним документам.
  3. Необхідно переконатися, що організація має виключне право на використання домену, зазначеного в сертифікаті EV.
  4. Необхідно переконатися, що організація повністю авторизовані для випуску EV сертифіката.

Список того, що конкретно будуть перевіряти такий же як і для сертифікатів з перевіркою організації.

EV сертифікати використовуються для всіх типів бізнесу, в тому числі для державних і некомерційних організацій. Для випуску необхідно 10-14 днів.

Друга частина правил актуальна для центру сертифікації і описує критерії, яким центр сертифікації повинен відповідати перед тим, як отримати дозвіл на випуск EV сертифіката. Вона називається, EV правила аудиту, і кожен рік відбувається перевірка на відповідність цим правилам.

Типи SSL сертифікатів за своїми властивостями.
Звичайні SSL сертифікати

Тут все зрозуміло, це сертифікати, які випускаються автоматично і підтверджують тільки домен. Підходять для всіх сайтів.

Ціна: від 20$ в рік

SGC сертифікати

Сертифікати з підтримкою підвищення рівня шифрування. Актуально для старих браузерів, які підтримували лише 40 або 56 біт шифрування. При використанні цього сертифіката рівень шифрування примусово підвищується до 128 біт.

За весь час у нас не купили не одного такого сертифіката. Моя думка, що вони вже не потрібні, хіба що для внутрішнього використання у великих корпораціях, де збереглося дуже старе залізо.

Ціна: від 300 $ в рік.

Wildcard сертифікати

Потрібні в тому випадку, коли вам крім основного домену потрібно забезпечити шифрування також на всіх піддоменах одного домену. Наприклад: є домен domain.com і вам потрібно встановити такий же сертифікат на support.domain.com, forum.domain.com і billing.domain.com

Порада: порахуйте кількість піддоменів, на які потрібен сертифікат, іноді буває вигідніше купити окремо кілька звичайних сертифікатів.

Ціна: 180$ в рік. Як бачите, якщо у вас менше 9 піддоменів, то дешевше купити звичайний сертифікат, хоча у використанні буде зручніше один wildcard.

SAN сертифікати

в Нагоді, якщо ви хочете використовувати один сертифікат для декількох різних доменів, розміщених на одному сервері. Зазвичай у такий сертифікат входить 5 доменів і їх кількість можна збільшувати з кроком в 5.

Ціна: 395 $ в рік

EV сертифікати

Це ті самі сертифікати з розширеної перевірки та зеленої рядком у браузері, про яких ми говорили вище. Отримати їх може тільки юридична особа, комерційна, некомерційна або державна організація.

Ціна: від 250 $ в рік.

Сертифікати c підтримкою IDN

Як правило, не у всіх центрів сертифікації вказана ця опція в описі сертифіката, але не всі сертифікати підтримуються роботу з IDN домени. Тому я просто наведу тут список сертифікатів, у яких є така підтримка:

  • Thawte SSL123 Certificate
  • Thawte SSL Web Server
  • Quick Secure Site
  • Thawte SGC SuperCerts
  • Thawte SSL Web Server Wildcard
  • Thawte SSL Web Server with EV
  • Quick Secure Site Pro
  • Quick Secure Site with EV
  • Quick Secure Site Pro with EV

Як вибрати найдешевший сертифікат?

У Geotrust найдешевші SAN сертифікати. Сертифікати з валідацією тільки сайту, а також wildcard найвигідніше у RapidSSL. EV сертифікати найдешевші також у Geotrust. SGC сертифікати є тільки у Thawte і Verisign, але у Thawte дешевше.

Чим ще відрізняються сертифікати між собою

  • Швидкістю випуску. Швидше всього випускаються сертифікати з валідацією тільки домену, найдовше з EV валідацією, від 7 робочих днів.
  • Кількість перевипусків сертифіката — у більшості центрів сертифікації необмежено. Вимагається, якщо допустили помилку в даних про організацію.
  • Гарантія — для деяких сертифікатів є гарантія від 10.000 $. Це гарантія скоріше не для покупця сертифіката, а для відвідувача сайту, де встановлений сертифікат. У разі якщо відвідувач сайту з таким сертифікатом постраждає від фрауда і втратить гроші, то центр сертифікації зобов’язується їх йому компенсувати до суми зазначеної в гарантії. Тобто центр сертифікації як би дає гарантію на свої сертифікати і що їх неможливо встановити на «лівий» домен. На практиці такі випадки мені не відомі тому на цей параметр можна не звертати увагу.
  • Безкоштовний тестовий період — з платних сертифікатів є у comodo secure site, geotrust rapidssl, comodo positive ssl, thawte ssl web server. Також можете для тестів використовувати безкоштовні сертифікати: StartSSL™ Free
  • Повернення коштів — є майже у всіх сертифікатів протягом 30 днів, хоча бувають і сертифікати без періоду moneyback

Корисні утиліти:

  1. OpenSSL — найпоширеніша утиліта для генерації відкритого ключа (запиту на сертифікат) та закритого ключа.http://www.openssl.org/
  2. CSR Decoder — утиліта для перевірки CSR і даних, які в ньому містяться, рекомендую використовувати перед замовленням сертифіката.CSR Decoder 1 або CSR Decoder 2
  3. DigiCert Certificate Tester — утиліта для перевірки коректно самого сертификатаhttp://www.digicert.com/help/?rid=011592

Короткий опис статті: ssl сертифікат безкоштовно Якщо ви не знаєте як вибрати SSL сертифікат, то пропонуємо вам прочитати нашу статтю, з якої ви дізнаєтеся про різновиди SSL сертифікатів. ssl сертифікат,Інтернет

Джерело: Як вибрати ssl сертифікат? Різновиди цифрових SSL сертифікатів.

Також ви можете прочитати