# SSL-сертификаты
# Общие сведения
SSL — криптографический протокол, основанный на асимметричном шифровании с двумя ключами. Данные, которые отправляются пользователю, шифруются с помощью находящегося в общем доступе его публичного ключа. Расшифровать такое сообщение можно только с помощью частного ключа, находящегося у самого пользователя.
Совместное использование SSL и HTTP позволяет организовать безопасный канал передачи данных (HTTPS-протокол).
Для размещения публичных ключей шифрования, используемых на сайтах, применяются SSL-сертификаты.
SSL-сертификат — это файл, в котором указан публичный ключ, привязанный к домену, регистрационный центр, выдавший сертификат, и информация о владельце домена.
# Типы сертификатов
В зависимости от объёма представленной в них информации сертификаты делятся на три типа:
- Domain Validation (DV) — сертификаты базового уровня, для получения которых пользователю необходимо подтвердить право собственности на домен. В сертификате указывается только владелец доменного имени.
- Organization Validation (OV) — более продвинутые сертификаты, для получения которых необходимо не только подтвердить право собственности на домен, но и представить регистрационному центру доказательства того, что организация-владелец домена действительно существует. В сертификате указаны сведения о компании-владельце домена.
- Extended Validation (EV) — наиболее продвинутый сертификат. В данном случае сертификационный центр не только подтверждает реальное существование заявителя и его компании, право владения компанией указанным доменным именем, но и проверяет отсутствие связи данной компании с теневой экономикой. В сертификате указаны подробные сведения о компании-владельце домена.
Информацию о защите сайта с помощью SSL-сертификата и о его уровне можно посмотреть в адресной строке бразуера: закрытый замок возле имени сайта означает наличие на сайте SSL-сертификата. При нажатии на замок можно получить более подробную информацию о самом SSL-сертификате.
Технически сертификаты всех трёх уровней подтверждения не отличаются друг от друга и обеспечивают одинаковый уровень надёжности шифрования данных. Основное различие между сертификатами — степень подтверждения сведений о компании, которая позволяет повысить уровень доверия пользователя к сайту.
# Получение сертификата
Процедуры, которые необходимо пройти для получения сертификатов разного уровня подтверждения, разные. Далее мы разберём процесс получения каждого из сертификатов.
# Domain Validation (DV)
Процесс оформления сертификата занимает несколько минут и проходит в два этапа:
# 1 этап — подтверждение права собственности и управления доменом
Подтвердить право собственности на домен можно тремя способами:
Подтверждение по e-mail (наиболее распространённый вариант): Сертификационный центр присылает письмо со ссылкой для подтверждения права собственности на e-mail, указанный при регистрации домена. Если при регистрации вы скрыли e-mail настройками приватности, то письмо придёт на один из пяти стандартных ящиков:
- admin@yourdomain,
- administrator@yourdomain,
- hostmaster@yourdomain,
- postmaster@yourdomain,
- webmaster@yourdomain.
Подтверждение с помощью DNS CNAME-записи. Обычно этот метод используют, если на домене ещё не настроен почтовый сервер, а адрес, указанный при регистрации домена, скрыт. В процессе покупки SSL-сертификата вы формируете CSR-запрос — текстовый файл, в котором в зашифрованном виде содержатся данные о домене и его владельце (вводить данные нужно латиницей!). Это можно сделать автоматически или с помощью специальных утилит.
После этого регистрационный центр хеширует ваш CSR-запрос по алгоритмам MD5 и SHA-256 и возвращает вам результаты хеширования.
Вы формируете CAA-запись вида:
<$MD5 hash>. <FQDN>.CNAME <$SHA256_Formatted hash>.comodoca.com
и размещаете её в DNS-зоне своего домена. Это можно сделать самостоятельно или обратиться к своему провайдеру. Регистрационный центр проверяет наличие записи и её правильность.Подтверждение с помощью хеш (HTTP CSR Hash). Регистрационный центр хеширует ваш CSR-запрос по алгоритмам MD5 и SHA-256 и возвращает вам результат хеширования.
Вы размещаете результат хеширования по алгоритму SHA-256 в текстовом файле
<MD5hash>.txt
и выкладываете файл на своём сервере. Ссылку на доступ к файлу отправляете регистрационному центру.
# 2 этап — проверка CAA-записи
CAA (Certification Authority Authorization) — DNS-запись, в которой указан центр сертификации, выдавший SSL-сертификат.
В САА-записи вашего домена должен быть указан сертификационный центр, выдающий вам SSL-сертификат. Если там указан другой центр, например, если у вас до этого был установлен бесплатный SSL-сертификат, выдача сертификата будет приостановлена.
CAA-запись должна располагаться в зоне DNS, в которой находится ваш домен (если ваш домен не на Джино, то самостоятельно перенесите САА-запись в вашу зону DNS).
Примечание
Сертификационный центр выдаст SSL-сертификат даже при отсутствии САА-записи.
Сертификаты уровня DV можно получить бесплатно. Их предоставляют некоторые некоммерческие организации, например, Let’sEncrypt. Основное отличие бесплатного сертификата от платного — срок действия. Бесплатные сертификаты предоставляются на 90 дней, платные — на 1 год.
Уровень шифрования при этом не отличается и надёжность защиты передаваемых данных не снижается.
# Organization Validation (OV)
Получение сертификата OV занимает от 1 до 5 дней и состоит из следующих этапов:
# 1 этап — проверка организации
Регистрационный центр проверяет реальное существование организации одним из следующих способов:
- наличие компании-заявителя в одной из авторитетных баз данных;
- наличие у компании-заявителя международного LEI-кода;
- наличие у компании одного из следующих документов: учредительного договора, лицензии на ведение бизнеса, выданной правительством, копии недавней выписки из банковского счёта компании, копии недавнего телефонного счёта, копии недавнего крупного счёта компании за коммунальные услуги (например, счёт за электроэнергию, за воду).
Документы в центр регистрации можно отправить почтой, по факсу или по e-mail в формате PDF или JPEG.
# 2 этап — подтверждение права собственности и управления доменом
Процесс подтверждения права собственности на домен совпадает с аналогичным этапом из раздела Domain Validation.
# 3 этап — обратный звонок
Регистрационный центр подтверждает указанный в заявлении телефонный номер: программа проверки звонит на указанный номер и диктует код проверки, который нужно будет переслать обратно в сертификационный центр.
Подтвердить номер телефона можно любым из указанных способов:
- наличием номера телефона в одной из авторитетных баз данных (чтобы уточнить список баз данных, свяжитесь с регистрационным центром);
- наличием номера телефона в одной из правительственных баз данных (в том числе в региональных базах данных);
- копией нотариально заверенного письма с указанием телефонного номера.
# Extended Validation (EV)
Это максимально возможный уровень проверки организации. Получение сертификата EV занимает от 2 до 7 рабочих дней и состоит из следующих этапов:
# 1 этап — соглашение с регистрационным центром
На первом этапе вам нужно подписать соглашение с центром регистрации.
Ссылка на соглашение придёт в течение нескольких часов после заказа сертификата. Подписать его можно электронной подписью.
# 2 этап — проверка организации
Регистрационный центр проверяет реальное существование организации любым из возможных методов:
- наличием компании-заявителя в одной из авторитетных баз данных;
- наличием у компании-заявителя международного LEI-кода;
- наличием у компании одного из следующих документов: учредительного договора, лицензии на ведение бизнеса, выданной правительством, копии недавней выписки из банковского счёта компании, копии недавнего телефонного счёта, копии недавнего крупного счёта компании за коммунальные услуги (например, счёт за электроэнергию, за воду).
Документы в центр регистрации можно отправить почтой, по факсу или по e-mail в формате PDF или JPEG.
# 3 этап — подтверждение права собственности и управления доменом
Процесс подтверждения права собственности на домен совпадает с аналогичным этапом из раздела Domain Validation.
# 4 этап — обратный звонок
Регистрационный центр подтверждает указанный в заявлении телефонный номер: программа проверки звонит на указанный номер и диктует код проверки.
Подтвердить номер телефона можно любым из указанных ниже методов:
- наличием номера телефона в одной из авторитетных баз данных (чтобы уточнить список баз данных, свяжитесь с регистрационным центром);
- наличием номера телефона в одной из правительственных баз данных (в том числе в региональных базах данных);
- копией нотариально заверенного письма с указанием телефонного номера.
# Покупка SSL-сертификата в Джино.Магазине
В нашем магазине есть сертификаты всех типов подтверждения (DV, OV, EV) и сертификаты, работающие с поддоменами указанного домена (wildcard-сертификаты).
Процесс покупки SSL-сертификата состоит из трёх шагов:
Создание CSR-запроса.
Для выписки SSL-сертификата в первую очередь необходимо сформировать CSR-запрос — текстовый файл, в котором в зашифрованном виде содержатся данные о защищаемом домене и будущем владельце сертификата. Это можно сделать автоматически, заполнив соответствующие поля в форме создания запроса в Магазине, или вручную при помощи утилиты OpenSSL.
Если вы выбрали wildcard-сертификат (один домен и всего его поддомены первого уровня), то имя домена нужно вводить в формате: *.example.com.
Для правильного формирования CSR данные о домене и его владельце нужно указывать латиницей.Обратите внимание
При создании CSR-запроса временно нельзя указывать доменные зоны .рф, .ru, .su и .by. В качестве места регистрации собственника домена или его компании нельзя указывать Российскую Федерацию или Республику Беларусь.
Ввод данных для подтверждения.
На этом шаге нужно указать данные, которые будут проверены сертификационным центром.
Для сертификата типа DV здесь нужно только выбрать почтовый ящик, на который придёт ссылка для подтверждения права управления доменом. Вы можете выбрать один из пяти стандартных почтовых ящиков, на которые отправляет письма регистрационный центр. Если хотите выбрать другой почтовый ящик, обратитесь в службу технической поддержки.
Для сертификатов типа OV и EV на этом шаге нужно указать реквизиты организации-владельца домена.Указание контактных данных администратора.
Здесь нужно указать контактные данные лица, с которым удостоверяющий центр сможет связаться при необходимости уточнить какие-то детали в процессе валидации или впоследствии.Выбор способа оплаты сертификата.
После оплаты сертификата и его подтверждения регистрационным центром в разделе ДоменыУправление выберите домен, к которому привязывали SSL-сертификат, и в его настройках на вкладке «SSL» подключите сертификат.