Απόρριψη πιστοποιητικών SSL για τοπικούς τομείς και διευθύνσεις IP. Τι να κάνετε εάν τα δεδομένα του οργανισμού έχουν αλλάξει ή η φιλοξενία έχει αλλάξει; Τι συμβαίνει με το πιστοποιητικό εάν διαγράψω την υπηρεσία φιλοξενίας;

Αποτύπωμα

Πώς να αποκτήσετε ένα δωρεάν πιστοποιητικό SSL για έναν ρωσικό τομέα χρησιμοποιώντας το CloudFlare; + μπόνους CDN.

(60 βαθμολογίες, μέσος όρος: 5,00 απο 5)

Χρησιμοποιώντας τη δωρεάν υπηρεσία CloudFlare CDN θα έχετε τουλάχιστον δύο πλεονεκτήματα:

1. δωρεάν πιστοποιητικό SSL από μια αξιόπιστη υπηρεσία πιστοποίησης που εμπιστεύεται ο Mozilla Firefox, το Google Chrome και άλλοι.
2. ένα δωρεάν δίκτυο παράδοσης περιεχομένου για τον ιστότοπό σας (CDN - Content Delivery Network), το οποίο θα αυξήσει την ταχύτητα φόρτωσης των σελίδων του.

Διαβάστε το άρθρο για λεπτομερείς οδηγίες σχετικά με το πώς να το αποκτήσετε. Πιστοποιητικό SSL για κυριλλικό τομέα. Επιπλέον, θα εξηγήσω τον αντίκτυπο των προβληματικών πιστοποιητικών (κόκκινη κλειδαριά) στη μετατροπή ενός ιστότοπου, ενός ιστολογίου ή ενός ηλεκτρονικού καταστήματος.

Προειδοποίηση στο Google Chrome για ιστότοπο που χρησιμοποιεί το πρωτόκολλο https.

Σε σχέση με την πρόσφατη έκδοση της νέας έκδοσης του Chrome 57 (ξεκινώντας με το Chrome 56) - ιστότοποι με πιστοποιητικά WoSignή StartSSL— έχουν γίνει εν μέρει απρόσιτα.

Δεν υπάρχει πλέον πράσινο λουκέτο στη γραμμή διευθύνσεων του προγράμματος περιήγησης.

Τελείωσε το freebie; Στην πραγματικότητα όχι - θα βρείτε την απάντηση στο άρθρο.

Γιατί τελείωσε το freebie; WoSign και StartSSL.

Είχε αναφερθεί παλαιότερα (φθινόπωρο 2016) ότι αυτά τα κέντρα πιστοποίησης δεν συμμορφώνονται με τις απαιτήσεις ασφαλείας.

Ο Firefox, ο Chrome και άλλοι δεν θα εμφανίζουν πλέον πράσινο λουκέτο στη γραμμή διευθύνσεων. Θα πω περισσότερα, τώρα είναι πιο δύσκολη η πρόσβαση σε πόρους με αυτά τα πιστοποιητικά.

Το Google Chrome, για παράδειγμα, προειδοποιεί για ένα κακό πιστοποιητικό και το δείχνει στον χρήστη όταν ανοίγει οποιαδήποτε σελίδα στον τομέα.

Επιτιθέμενοιμπορώ να προσπαθήσω απάγωτα δεδομένα σας από τον ιστότοπο.

Αλλά το κάνει με τέτοιο τρόπο ώστε αυτός που ανοίγει το site μπορεί να φοβηθεί. Χωρίς να κατανοήσει τον πραγματικό λόγο για ένα τέτοιο μήνυμα, ένα άτομο θα εγκαταλείψει τον "επικίνδυνο" ιστότοπο.

Μοιάζει κάπως έτσι:

Google Chrome: Η σύνδεσή σας δεν είναι ασφαλής (NET::ERR_CERT_AUTHORITY_INVALID)

Και για να αποκτήσετε πρόσβαση σε έναν τέτοιο ιστότοπο, πρέπει ακόμα να γίνετε έξυπνοι και να κάνετε κλικ στο "Για προχωρημένους" (προφανώς υπάρχουν δυσκολίες μετάφρασης) και να βρείτε εκεί "μετάβαση στον ιστότοπο xxx".

Google Chrome: Ο διακομιστής δεν μπορεί να επαληθεύσει τη σύνδεση με τον τομέα - μεταβείτε στον ιστότοπο (μη ασφαλής)

Και μετά την επιβεβαίωση της μετάβασης στον ιστότοπο, όλα στη γραμμή διευθύνσεων είναι κόκκινα:

Σε ένα τέτοιο site απότομα η εμπιστοσύνη πέφτειχρήστες και το εγκαταλείπουν αμέσως. Αν και αμφιβάλλω ότι δεν θα το κλείσουν στο προηγούμενο στάδιο.

Ψ. Σε γενικές γραμμές, αυτό ισχύει για ιστότοπους δεν περιλαμβάνονται στο πρώτο εκατομμύριο σύμφωνα με την Alexa, αλλά δεν μπορώ να το ελέγξω αυτό.

Ερώτηση: πώς να φτιάξετε ένα πράσινο λουκέτο στη γραμμή διευθύνσεων του προγράμματος περιήγησης;

Το Google Chrome και ένα πράσινο λουκέτο στη γραμμή διευθύνσεων είναι ένας αξιόπιστος ιστότοπος.

Απάντηση: Χρειάζεστε ένα έγκυρο πιστοποιητικό SSL από μια αρχή πιστοποίησης (Symantec, Comodo, GlobalSign, κ.λπ.) που εμπιστεύονται μεγάλοι κατασκευαστές προγραμμάτων περιήγησης.

• Αγοράστε ένα πιστοποιητικό με υποστήριξη IDN (διεθνοποιημένα ονόματα τομέα: .рф, . moskva - γενικά, μη λατινικοί τομείς). Δεν έχουν όλα τα πιστοποιητικά IDN και συνήθως κοστίζουν περισσότερο.
• Η δωρεάν χρήση υπηρεσιών CloudFlare σημαίνει εξαπάτηση.

Πώς μπορώ να φτιάξω ένα πράσινο λουκέτο στη γραμμή διευθύνσεων για έναν κυριλλικό τομέα δωρεάν;

Προκειμένου ο ιστότοπός μας να διαθέτει ένα καλό πιστοποιητικό SSL το οποίο εμπιστεύονται οι Google Chrome, Mozilla Firefox, Opera και άλλοι, θα χρησιμοποιήσουμε την υπηρεσία CDN CloudFlare.

Αυτή την υπηρεσία εμπιστεύονται μεγάλες εταιρείες όπως η Zendesk, η Eurovision, η DigitalOcean και άλλες. Ολόκληρη η λίστα βρίσκεται στη διεύθυνση: cloudflare.com/case-studies/.

Σύντομες οδηγίες. 4 βήματα.

Οδηγίες για την ενεργοποίηση ενός πιστοποιητικού SSL στο Cloudflare:

1. Εγγραφείτε στην υπηρεσία.
2. Επιλέξτε έναν τομέα και ακολουθήστε τις οδηγίες του βοηθού.
3. Αλλάξτε τον διακομιστή DNS για τον τομέα, στον πίνακα ελέγχου τομέα - όπου καταχωρήθηκε ο τομέας.
4. Ενεργοποιήστε την επιθυμητή λειτουργία SSL στον πίνακα Cloudflare. Ετοιμος!

Τώρα ας ρίξουμε μια πιο προσεκτική ματιά σε κάθε βήμα. Μπορείτε να χειριστείτε μερικά από αυτά χωρίς αυτό το άρθρο, αλλά σε ορισμένα βήματα μπορεί να έχετε προβλήματα την πρώτη φορά.

Αναλυτικές οδηγίες με στιγμιότυπα οθόνης για τη ρύθμιση του Cloudflare και τη σύνδεση ενός δωρεάν πιστοποιητικού SSL στον τομέα σας.

Εγγραφείτε στο Cloudflare.

Όλα ξεκινούν με την εγγραφή στην υπηρεσία Cloudflare.

Προσθέσαμε τον ιστότοπό μας στον πίνακα cloudflare και στο τελευταίο βήμα μας ζητείται να αλλάξουμε τους διακομιστές DNS σε αυτούς που προσφέρει η υπηρεσία. Στην περίπτωσή μου είναι duke.ns.cloudflare.comΚαι olga.ns.cloudflare.com. Πηγαίνουμε στον πίνακα ελέγχου του hosting ή του καταχωρητή και αλλάζουμε τους τρέχοντες διακομιστές ονομάτων σε νέους.

Λάβετε υπόψη ότι αυτή η διαδικασία μπορεί να πάρει χρόνο. Η ζώνη DNS μπορεί να εκτείνεται από έξι έως 48 ώρες. Λοιπόν, τελευταία αυτό συμβαίνει πολύ πιο γρήγορα.

Έλεγχος διακομιστών NS για έναν τομέα χρησιμοποιώντας το Google Dig.

Είναι σημαντικό ο ιστότοπος να έχει νέα IP. Αυτό θα είναι ένδειξη αλλαγής DNS.

Μπορείτε να το ελέγχετε περιοδικά χρησιμοποιώντας το βοηθητικό πρόγραμμα Dig από την Google. Βρίσκεται στη διεύθυνση //toolbox.googleapps.com/apps/dig/. Εκτός από τους διακομιστές DNS, μπορείτε να ελέγξετε τον διακομιστή αλληλογραφίας και άλλες παραμέτρους εκεί.

Ολοι. Τώρα που η ζώνη DNS έχει εξαπλωθεί, το cloudflyer το βλέπει και αλλάζει την κατάσταση του ιστότοπου σε Activ.

Απόκτηση δωρεάν πιστοποιητικού SSL το 2017 από το CloudFlare.

Τώρα για το πιο σημαντικό πράγμα - την ένταξη httpsπρωτόκολλο για τον ιστότοπο.

Λειτουργία SSL CloudFlare: Πλήρης - προεπιλογή.

Λειτουργία Cloudflare SSL - Πλήρης

Από προεπιλογή, μετά την προσθήκη μιας τοποθεσίας, το πιστοποιητικό SSL συνδέεται με τον τομέα σε πλήρη λειτουργία.

Εάν ο ιστότοπός σας έχει ήδη πρόσβαση μέσω HTTPS, τότε δεν χρειάζεται να κάνετε τίποτα. Το πιστοποιητικό SSL του ιστότοπου θα ισχύει για προγράμματα περιήγησης.

Αλλά αν δεν είχατε πιστοποιητικό SSL πριν ή δεν θέλετε να ασχοληθείτε με ένα, τότε διαβάστε.

Ενεργοποιήστε την ευέλικτη λειτουργία στο CloudFlare.

Μεταβείτε στην καρτέλα Cryptoκαι ενεργοποιήστε το Flexible στη σελίδα cloudflare.com/a/crypto/your_domain. Υπάρχουν 4 διαθέσιμες λειτουργίες cloudflare, αλλά περισσότερες για αυτές κάποια άλλη φορά.

Το Cloudflare μας προειδοποιεί ότι μπορεί να χρειαστεί έως και μία ημέρα για τη δημιουργία ενός πιστοποιητικού SSL. Και για λίγο θα δούμε το λάθος ERR_SSL_PROTOCOL_ERROR.

Και τώρα που ο ιστότοπός μας είναι προσβάσιμος μέσω του πρωτοκόλλου Https, μπορείτε με ασφάλεια να συγχαρείτε τον εαυτό σας - το κάνατε!

ps. Εάν ο ιστότοπός σας ανοίγει, αλλά εμφανίζει "μικτό περιεχόμενο" στην Επισκόπηση ασφαλείας της κονσόλας προγραμματιστή του Google Chrome, τότε πρέπει να προσθέσετε έναν κανόνα στο CloudFlare.

Μικτό περιεχόμενο στον ιστότοπο μέσω HTTPS. Κανόνες σελίδας CloudFlare.

Για να αποτρέψετε μεικτό περιεχόμενο στον ιστότοπο, πρέπει να μεταβείτε στην καρτέλα Κανόνες σελίδας και να διαμορφώσετε τον κανόνα. Κάντε κλικ στην επιλογή Δημιουργία κανόνα σελίδας και γράψτε τα εξής:

//*your_domain/*

Και προσθέστε τη ρύθμιση (Στη συνέχεια οι ρυθμίσεις είναι: -> Προσθήκη ρύθμισης) Να χρησιμοποιείτε πάντα το HTTPS.

Δημιουργήστε έναν κανόνα για να χρησιμοποιείτε πάντα το HTTPS - CloudFlare

Κλικ Αποθήκευση και ανάπτυξη- και το πρόβλημα θα λυθεί.

Είναι αδύνατο να αποκτήσετε πιστοποιητικό SSL για κυριλλικό τομέα (.рф, .рус) στον πίνακα ελέγχου VESTA

Με την ευκαιρία, ναι. Είναι αδύνατο να αποκτήσετε πιστοποιητικό SSL για τους τομείς .рф, .рус.
Ο πίνακας ελέγχου Vesta (ο οποίος είναι δωρεάν) έχει επί του παρόντος προβλήματα με κυριλλικούς τομείς (τομείς IDN, εθνικούς) και την αυτόματη λήψη πιστοποιητικών SSL από το Let’s Encrypt για αυτούς.
Από αυτή την άποψη, είναι προβληματική η απόκτηση ενός δωρεάν πιστοποιητικού SSL στο VestaCP από το Let’s Encrypt.

Αυτό το σφάλμα είναι γνωστόκαι βρίσκεται ακόμη στο στάδιο της συζήτησης. Στο μέλλον, η λύση θα είναι στην επόμενη ενημέρωση. Λοιπόν, προς το παρόν θα πρέπει να χρησιμοποιήσετε Το CloudFlare και οι ευέλικτες και πλήρεις λειτουργίες τους.

Όταν ένας εισβολέας προσπαθεί να αποκτήσει πρόσβαση στον ιστότοπό σας, μπορεί να πλαστογραφηθεί ακόμα και αν ο χρήστης έχει εισαγάγει σωστά το όνομα τομέα.

Τα πιστοποιητικά SSL εξαλείφουν τη δυνατότητα τέτοιας αντικατάστασης - με την προβολή του πιστοποιητικού, ο χρήστης μπορεί να βεβαιωθεί ότι ο τομέας φιλοξενεί ακριβώς τον ιστότοπο που θα έπρεπε να βρίσκεται εκεί και όχι ένα αντίγραφό του.

Επιπλέον, ένα πιστοποιητικό SSL επιτρέπει στο χρήστη να επαληθεύσει ποιος είναι ο κάτοχος του ιστότοπου. Αυτό σημαίνει ότι ο χρήστης μπορεί να βεβαιωθεί ότι έχει επισκεφτεί τον ιστότοπο του οργανισμού που χρειάζεται και όχι τον ιστότοπο του διπλού του.

Μια άλλη σημαντική λειτουργία των πιστοποιητικών SSL είναι η κρυπτογράφηση της σύνδεσης στο Διαδίκτυο. Είναι απαραίτητη μια κρυπτογραφημένη σύνδεση για την αποφυγή πιθανής κλοπής εμπιστευτικών δεδομένων κατά τη μετάδοση μέσω του δικτύου.

Συνιστούμε την εγκατάσταση πιστοποιητικών SSL στην ενότητα του ιστότοπου όπου οι χρήστες εισάγουν εμπιστευτικά δεδομένα, για παράδειγμα, στις σελίδες εξουσιοδότησης και πληρωμής. Η παρουσία πιστοποιητικού σε έναν ιστότοπο τον προστατεύει από πιθανές απομιμήσεις, αφού ο χρήστης μπορεί πάντα να βεβαιωθεί ότι ο ιστότοπος είναι γνήσιος και να ελέγξει σε ποιον ανήκει.

Για λόγους ασφαλείας, το πιστοποιητικό SSL δεν μεταβιβάζεται σε άλλο συμβόλαιο.

Μπορείτε να ελέγξετε την ιδιοκτησία του τομέα στην παραγγελία πιστοποιητικού μέσω του email που καθορίζεται για τον τομέα στην υπηρεσία Whois. Για να το κάνετε αυτό, πρέπει να επικοινωνήσετε με τον καταχωρητή τομέα και να καταχωρήσετε οποιοδήποτε email για αυτό στην υπηρεσία Whois. Εάν ο τομέας είναι καταχωρημένος στο RU-CENTER, τότε για να το κάνετε αυτό, εισαγάγετε το email σας στον προσωπικό σας λογαριασμό:

1. Επιλέγω Υπηρεσίες → Οι τομείς μου.
2. Κάντε κλικ στο όνομα τομέα ως ενεργό σύνδεσμο.
3. Στη σειρά Περιγραφή στο Whoisκάντε κλικ στον σύνδεσμο Αλλαγή.
4. Εισαγάγετε το email σας και κάντε κλικ στο κουμπί Αποθήκευση αλλαγών. Μετά από αυτό, ενημερώστε μας για τις ενέργειες που έγιναν στο .

Εάν δημιουργήσατε ένα αίτημα για πιστοποιητικό CSR στον προσωπικό σας λογαριασμό RU-CENTER (επιλέχθηκε η επιλογή "δημιουργία CSR"), τότε το ιδιωτικό κλειδί αποθηκεύτηκε αυτόματα στον υπολογιστή σας με το όνομα αρχείου privatekey.txt. Δοκιμάστε να κάνετε αναζήτηση στον υπολογιστή σας. Χωρίς την αποθήκευση του αρχείου, δεν θα μπορείτε να προχωρήσετε στο επόμενο βήμα κατά την υποβολή της παραγγελίας πιστοποιητικού. Εάν το αίτημα για πιστοποιητικό CSR δημιουργήθηκε στον διακομιστή σας ή από τρίτο πάροχο φιλοξενίας, τότε το ιδιωτικό κλειδί βρίσκεται στον διακομιστή ή στον πάροχο, αντίστοιχα. Εάν χαθεί το ιδιωτικό κλειδί, πρέπει να το κάνετε - είναι δωρεάν.

1. Επισκεφθείτε τον ιστότοπο https://www.upik.de.
2. Επιλέξτε γλώσσα αγγλικός.
3. Κάντε κλικ στον σύνδεσμο UPIR-Αναζήτηση με αριθμό D-U-N-SR.
4. Στο χωράφι Αριθμός D&B D-U-N-SRεισάγετε τον αριθμό DUNS.
5. Στο χωράφι Επιλέξτε χώραεπιλέξτε τη χώρα σας.
6. Στην κάρτα εταιρείας που ανοίγει, μπορείτε να ελέγξετε την παρουσία ενός αριθμού τηλεφώνου στο πεδίο Αριθμός τηλεφώνου.

Εάν ο αριθμός τηλεφώνου αναφέρεται λανθασμένα ή λείπει, επικοινωνήστε με το ρωσικό γραφείο αντιπροσωπείας της DUN&BRADSTREET - εταιρεία Interfax και εισαγάγετε ή διορθώστε τον αριθμό τηλεφώνου στην εταιρική κάρτα. Αφού κάνετε αλλαγές, ο αριθμός τηλεφώνου στο DUNS σας θα εμφανίζεται μόνο μετά από 7-30 ημερολογιακές ημέρες.

Για να αλλάξετε τη λίστα των τομέων που καλύπτονται από το πιστοποιητικό, πρέπει να δημιουργήσετε ξανά το CSR και να ακολουθήσετε τη διαδικασία επανέκδοσης του πιστοποιητικού:

1. Στην ενότητα Για πελάτες → Πιστοποιητικά SSLκαι επιλέξτε το απαιτούμενο πιστοποιητικό.

3. Εάν θέλετε να δημιουργήσετε ένα CSR κατά τη διαδικασία παραγγελίας - κάντε κλικ Συνεχίζω.Εάν θα χρησιμοποιήσετε το CSR σας, πληκτρολογήστε το στο πεδίο που εμφανίζεται. Η δημιουργία ενός CSR για την εγκατάσταση ενός πιστοποιητικού στο Microsoft IIS περιγράφεται σε ξεχωριστές οδηγίες - θα ανοίξουν όταν κάνετε αυτήν την επιλογή.

4. Κάντε αλλαγές στη λίστα των τομέων και κάντε κλικ Συνεχίζω.

5. Εισαγάγετε τα στοιχεία επικοινωνίας σας και κάντε κλικ Συνεχίζω.

6. Αποθηκεύστε το ιδιωτικό κλειδί - θα το χρειαστείτε για να εγκαταστήσετε το πιστοποιητικό στον διακομιστή web. Κλικ Συνεχίζω.

7. Ελέγξτε την ορθότητα και κάντε κλικ Υποβολή παραγγελίας.

Τα πιστοποιητικά SSL εκδίδονται για περίοδο 1-2 ετών.

Εάν ένας οργανισμός παραγγείλει ένα πιστοποιητικό για έναν τομέα που δεν ανήκει σε αυτόν, τότε πρέπει να παράσχει μια επιστολή από τον κάτοχο του τομέα με άδεια έκδοσης πιστοποιητικού. Το υπόδειγμα επιστολής θα σταλεί από το κέντρο πιστοποίησης στη διεύθυνση email επικοινωνίας του πελάτη πιστοποιητικού.

Το πιστοποιητικό μπορεί να επιβεβαιώσει την ύπαρξη δικαιωμάτων διαχείρισης τομέα, δηλαδή μπορεί να πιστοποιήσει μόνο τον τομέα. Τέτοια πιστοποιητικά ανήκουν στην κατηγορία. Με την προβολή του πιστοποιητικού DV, ο χρήστης μπορεί να βεβαιωθεί ότι βρίσκεται πραγματικά στον ιστότοπο του οποίου η διεύθυνση εισήχθη στη γραμμή του προγράμματος περιήγησης, δηλαδή ότι κατά την πρόσβαση στον ιστότοπο, ο χρήστης δεν ανακατευθύνθηκε από εισβολείς σε έναν ψεύτικο πόρο ιστού. Ωστόσο, το πιστοποιητικό δεν περιέχει πληροφορίες σχετικά με τον ιδιοκτήτη του ιστότοπου - το πιστοποιητικό δεν θα περιέχει πληροφορίες για τον ιδιοκτήτη του. Αυτό οφείλεται στο γεγονός ότι για την απόκτηση πιστοποιητικού, ο πελάτης δεν χρειάζεται να προσκομίσει αποδεικτικά έγγραφα για τα στοιχεία ταυτοποίησής του. Επομένως, μπορεί να είναι εικονικά (για παράδειγμα, το άτομο που ζητά το πιστοποιητικό μπορεί να υποδύεται άλλο άτομο).

Ένα πιστοποιητικό μπορεί να επιβεβαιώσει την ύπαρξη δικαιωμάτων διαχείρισης ενός ονόματος τομέα και την ύπαρξη ενός οργανισμού που έχει αυτά τα δικαιώματα, δηλαδή μπορεί να πιστοποιήσει τον τομέα και τον κάτοχό του. Τέτοια πιστοποιητικά ανήκουν στην κατηγορία. Με την προβολή του πιστοποιητικού OV, ο χρήστης μπορεί να επαληθεύσει ότι βρίσκεται πραγματικά στον ιστότοπο του οποίου η διεύθυνση έχει εισαχθεί στη γραμμή του προγράμματος περιήγησης και επίσης να προσδιορίσει σε ποιον ανήκει αυτός ο ιστότοπος. Για την έκδοση αυτού του πιστοποιητικού, ο πελάτης πρέπει να τεκμηριώσει τα στοιχεία ταυτοποίησής του.

Πολύ συχνά λαμβάνουμε αιτήματα σχετικά με τον τρόπο απόκτησης πιστοποιητικού SSL για έναν τοπικό τομέα (.local) ή για μια διεύθυνση IP. Εάν προηγουμένως μπορούσαν να ληφθούν ξεχωριστοί τύποι πιστοποιητικών SSL για μια διεύθυνση IP ή έναν εσωτερικό τομέα, τώρα, δυστυχώς, αυτό δεν είναι πλέον δυνατό. Η παραγγελία εσωτερικών πιστοποιητικών όπως το Comodo IntranetSSL δεν είναι πλέον δυνατή και τα πιστοποιητικά πολλών τομέων που υποστηρίζουν τοπικούς τομείς .local θα ισχύουν μόνο μέχρι τις 31 Οκτωβρίου 2015. Όπως και για τα πιστοποιητικά SSL που εκδόθηκαν προηγουμένως για εσωτερικούς τομείς και διευθύνσεις IP, την 1η Οκτωβρίου 2016 θα ανακληθούν ή θα αποκλειστούν από τα προγράμματα περιήγησης.

Γιατί ακυρώθηκαν τα πιστοποιητικά SSL για IP και τοπικούς τομείς;

Η απόφαση να σταματήσει η έκδοση πιστοποιητικών SSL για .local τομείς και για διευθύνσεις IP ελήφθη στο φόρουμ των Αρχών πιστοποίησης και των προγραμμάτων περιήγησης (CA/B Forum).

Ο πιο σημαντικός στόχος των αρχών έκδοσης πιστοποιητικών κατά την έκδοση πιστοποιητικών SSL είναι να διασφαλίσουν την αξιοπιστία και την εμπιστοσύνη συνδέοντας δεδομένα κρυπτογραφικού δημόσιου κλειδιού με ένα επαληθευμένο άτομο ή εταιρεία. Τα πιστοποιητικά SSL προσδιορίζουν τους υπολογιστές ως διακομιστές που προσφέρουν ένα ή περισσότερα πρωτόκολλα (συνήθως HTTP για κυκλοφορία ιστού, αλλά και SMTP, POP, IMAP, FTP, XMPP, RDP και άλλα) μέσω SSL/TLS.

Ο διακομιστής μπορεί να προσεγγιστεί με διάφορα ονόματα ή διευθύνσεις. Ένας διακομιστής που είναι συνδεδεμένος στο Διαδίκτυο έχει συνήθως το δικό του όνομα στο Σύστημα Ονομάτων Τομέα (DNS), το οποίο επιτρέπει σε οποιοδήποτε άλλο σύστημα στο Διαδίκτυο να επιλύει αυτό το όνομα σε μια διεύθυνση IP και να έχει πρόσβαση στον διακομιστή. Για παράδειγμα, ας πάρουμε έναν διακομιστή με το όνομα τομέα "server1234.site". Αυτό το σύστημα έχει μια διεύθυνση IP με δυνατότητα δρομολόγησης στο Διαδίκτυο - IPv4 ή IPv6 ή και τα δύο.

Ωστόσο, οι διακομιστές ενδέχεται να έχουν επιπλέον ονόματα και διευθύνσεις που ισχύουν μόνο στο πλαίσιο του τοπικού δικτύου και όχι σε ολόκληρο το Διαδίκτυο. Έτσι, ο ίδιος διακομιστής από το παραπάνω παράδειγμα μπορεί να είναι προσβάσιμος από άλλους υπολογιστές στο τοπικό δίκτυο με τα ονόματα "mail" ή "mail.local".

Το όνομα τοπικού τομέα μπορεί να μετατραπεί σε διεύθυνση IP με δυνατότητα δρομολόγησης στο Διαδίκτυο ή σε διεύθυνση IP προσβάσιμη μόνο μέσω του τοπικού δικτύου. Ο χώρος διευθύνσεων IP "192.168.*.*" που χρησιμοποιούν πολλές οικιακές πύλες Internet είναι ίσως η πιο γνωστή σειρά προσωπικών διευθύνσεων δικτύου. Υπάρχουν όμως και πολλοί χώροι διευθύνσεων IP IPv4 και IPv6 που προορίζονται για ιδιωτικές ή άλλες χρήσεις.

Η βασική διαφορά μεταξύ αυτών των δύο τύπων ονομάτων τομέα και διευθύνσεων IP είναι η μοναδικότητά τους. Π Ένα πλήρως πιστοποιημένο όνομα τομέα (FQDN), όπως το "www.site", αντιπροσωπεύει μια μοναδική και εύκολα διακριτή οντότητα στο Διαδίκτυο (ακόμη και αν πολλοί διακομιστές απαντούν σε αυτό το όνομα τομέα, μόνο ένα άτομο μπορεί να το διαχειριστεί). Ταυτόχρονα, χιλιάδες συστήματα σε δημόσια και ιδιωτικά (τοπικά) δίκτυα μπορούν να ανταποκριθούν σε ένα απροσδιόριστο όνομα τομέα «mail». Στο Διαδίκτυο, μόνο ένας κόμβος επικοινωνίας έχει τη διεύθυνση IP «5.63.155.56», ενώ δεκάδες χιλιάδες οικιακές πύλες Διαδικτύου έχουν τη διεύθυνση «192.168.0.1».

Τα πιστοποιητικά SSL από αξιόπιστες αρχές έκδοσης πιστοποιητικών εκδίδονται για τη διασφάλιση της ασφάλειας και της εμπιστοσύνης για τα ονόματα τομέα σε όλο το Διαδίκτυο. Τα μη μοναδικά ονόματα τομέα, από τη φύση τους, δεν μπορούν να αναγνωριστούν εκτός του τοπικού τους πλαισίου, επομένως τα πιστοποιητικά SSL που εκδίδονται για τοπικούς τομείς είναι δυνητικά επικίνδυνα επειδή μπορούν να χρησιμοποιηθούν για δόλιους σκοπούς.

Για αυτόν τον λόγο, οι αρχές έκδοσης πιστοποιητικών αρνούνται να εκδώσουν πιστοποιητικά SSL για μη μοναδικούς τομείς και διευθύνσεις IP, όπως "mail", "mail.local" ή "192.168.0.1".

Γιατί είναι επικίνδυνο να χρησιμοποιείτε πιστοποιητικά SSL για τοπικούς τομείς και διευθύνσεις IP;

Για παράδειγμα, ας πάρουμε μια εταιρεία που έχει αναπτύξει ένα σύστημα ηλεκτρονικού ταχυδρομείου στη διεύθυνση "https://mail/". Το σύστημα δεν είναι προσβάσιμο μέσω του World Wide Web, αλλά μόνο μέσω τοπικού εταιρικού δικτύου ή μέσω VPN. Είναι ασφαλές;

Δεν είναι απαραίτητο εάν έχετε πιστοποιητικό SSL για το όνομα τομέα "mail" από μια αξιόπιστη αρχή πιστοποίησης. Το όνομα τομέα "mail" δεν είναι μοναδικό, επομένως σχεδόν οποιοσδήποτε μπορεί να λάβει ένα πιστοποιητικό SSL για το "https://mail/". Εάν ένας εισβολέας χρησιμοποιεί ένα τέτοιο πιστοποιητικό σε ένα εταιρικό LAN μαζί με πλαστογράφηση τοπικών ονομάτων, μπορεί εύκολα να πλαστογραφήσει τον πραγματικό εταιρικό διακομιστή email και να λάβει διαπιστευτήρια σύνδεσης χρήστη και άλλες ευαίσθητες πληροφορίες. Επιπλέον, ο απατεώνας δεν χρειάζεται καν να βρίσκεται στο εταιρικό δίκτυο για να πραγματοποιήσει με επιτυχία μια επίθεση. Εάν ένας χρήστης συνδέσει τον εταιρικό φορητό υπολογιστή του σε ένα δημόσιο δίκτυο WiFi, το πρόγραμμα-πελάτης ηλεκτρονικού ταχυδρομείου μπορεί να προσπαθήσει αυτόματα να συνδεθεί στο "https://mail/" προτού δημιουργηθεί μια σύνδεση VPN. Σε αυτό το σημείο, ένας εισβολέας μπορεί να κάνει μια αντικατάσταση και να κλέψει δεδομένα χρήστη.

Θα πρέπει να σημειωθεί εδώ ότι δεν έχει σημασία αν το πιστοποιητικό SSL χρησιμοποιήθηκε από μια γνωστή αξιόπιστη αρχή έκδοσης πιστοποιητικών (όπως Comdo, Thawte, Symantec και άλλες) ή ένα αυτο-υπογεγραμμένο πιστοποιητικό SSL από μια ιδιωτική εταιρική αρχή έκδοσης πιστοποιητικών. Εάν το πιστοποιητικό SSL που χρησιμοποιείται από τον απατεώνα είναι συνδεδεμένο με μια αρχή έκδοσης πιστοποιητικών στο χώρο αποθήκευσης του προγράμματος περιήγησης ή του λειτουργικού συστήματος, το πιστοποιητικό θα γίνει αποδεκτό από όλους τους πελάτες, δημιουργώντας μια ευπάθεια ακόμη και στην πλευρά χρήστη της υποδομής ιδιωτικού κλειδιού (PKI).

Λόγω του γεγονότος ότι είναι αδύνατο να διεξαχθεί πλήρης έλεγχος τοπικών τομέων και διευθύνσεων IP, καθώς και της μεγάλης πιθανότητας χρήσης τέτοιων πιστοποιητικών SSL για δόλιους σκοπούς, η CA και το Φόρουμ του προγράμματος περιήγησης αποφάσισαν να σταματήσουν την έκδοσή τους.

Ποιες είναι οι εναλλακτικές;

1. Χρησιμοποιήστε πλήρως αναγνωρισμένα ονόματα τομέα (FQDN) και αναζήτηση DNS του επιθέματος τομέα.

Πολλοί ιστότοποι προσβάσιμοι από ένα τοπικό όνομα τομέα μπορούν επίσης να προσεγγιστούν και να αναγνωριστούν σωστά από ένα FQDN, επειδή το λογισμικό πελάτη DNS χρησιμοποιεί μια διαδικασία που ονομάζεται αναζήτηση επιθημάτων όπου προστίθενται διαμορφωμένα επιθήματα στο τοπικό όνομα και το αποτέλεσμα είναι ένας πλήρως πιστοποιημένος τομέας FQDN. Συνήθως, αυτό συμβαίνει αυτόματα για τους τομείς στους οποίους ανήκει το σύστημα. Για παράδειγμα, ένα σύστημα με το όνομα "client.example.com" χρησιμοποιεί το "example.com" ως επίθημα αναζήτησης. Όταν προσπαθείτε να δημιουργήσετε μια σύνδεση με το όνομα "διακομιστής", αυτό το σύστημα θα προσπαθήσει αυτόματα να βρει το "server.example.com" μέσω μιας αναζήτησης DNS. Μπορείτε να διαμορφώσετε μόνοι σας την αναζήτηση DNS για ένα επίθημα τομέα.

Εάν χρησιμοποιείτε τον τομέα .local για το εσωτερικό σας δίκτυο, αυτή η μέθοδος δεν θα σας ταιριάζει, σας συνιστούμε να λάβετε υπόψη τα ακόλουθα.

• Φροντιστήριο

Κάντε κλικ στο Sing-up και προχωρήστε στην εγγραφή, όπου συμπληρώνουμε μια μικρή φόρμα. Όλα τα πεδία είναι υποχρεωτικά, πρέπει να εισαγάγετε πραγματικά δεδομένα, μπορούν να ελέγξουν την ταυτότητά σας και να ανακαλέσουν το πιστοποιητικό, να μπλοκάρουν τον λογαριασμό σας. Πρέπει να δηλώσετε τη διεύθυνση κατοικίας σας, όχι τη διεύθυνση εργασίας σας. Είναι επίσης επιθυμητό να χρησιμοποιείται το λατινικό αλφάβητο κατά την εγγραφή - αυτό θα συμβάλει στη σημαντική μείωση του χρόνου που απαιτείται για την επιβεβαίωση της εγγραφής λογαριασμού.

Μας ζητείται να εισαγάγουμε έναν κωδικό επαλήθευσης που στάλθηκε μέσω email. Ας μπούμε. Στη συνέχεια, μας ζητείται να επιλέξουμε το μέγεθος κλειδιού για το πιστοποιητικό σας (για εξουσιοδότηση στον ιστότοπο) 2048 ή 4096.

Το πιστοποιητικό έχει δημιουργηθεί και πρέπει να επιβεβαιώσουμε την εγκατάστασή του στο πρόγραμμα περιήγησης.

Επαλήθευση τομέα

Πριν λάβουμε ένα πιστοποιητικό, πρέπει να επιβεβαιώσουμε την ιδιοκτησία του τομέα. Για να το κάνετε αυτό, μεταβείτε στην ενότητα Validations Wizard και επιλέξτε Domain Name Validation

Εισαγάγετε τον τομέα

Επιλέξτε το email στο οποίο θα σταλεί το email επιβεβαίωσης (ταχυδρομικός υπεύθυνος, υπεύθυνος κεντρικού υπολογιστή, webmaster ή email από whois)

Λαμβάνουμε το γράμμα και εισάγουμε τον κωδικό από αυτό στο πεδίο. Αυτό είναι όλο - ο τομέας έχει επιβεβαιωθεί, μπορείτε να ξεκινήσετε τη δημιουργία του πιστοποιητικού. Μέσα σε 30 ημέρες μπορούμε να δημιουργήσουμε ένα πιστοποιητικό. Στη συνέχεια, θα χρειαστεί να επαναλάβετε τη διαδικασία επαλήθευσης.

Δημιουργία πιστοποιητικού

Μεταβείτε στην ενότητα Certificates Wizard και επιλέξτε Web Server SSL/TSL Certificate εκεί

Στη συνέχεια, έχουμε 2 επιλογές - είτε κάντε κλικ στο Παράλειψη και εισαγάγετε ένα αίτημα για τη δημιουργία πιστοποιητικού ή δημιουργήστε τα πάντα στον οδηγό. Ας υποθέσουμε ότι δεν έχουμε αίτημα πιστοποιητικού, επομένως θα δημιουργήσουμε τα πάντα σε αυτόν τον οδηγό.

Εισαγάγετε τον κωδικό πρόσβασης για το κλειδί (ελάχ. 10 χαρακτήρες - μέγ. 32) και το μέγεθος του κλειδιού (2048\4096).

Λαμβάνουμε και αποθηκεύουμε το κλειδί.

Επιλέξτε τον τομέα για τον οποίο θα δημιουργήσουμε πιστοποιητικό (ο τομέας πρέπει να είναι ήδη επαληθευμένος).

Μας δίνεται το δικαίωμα να συμπεριλάβουμε έναν υποτομέα στο πιστοποιητικό - ας είναι το τυπικό www

Λάβαμε κάποιες πληροφορίες σχετικά με το πιστοποιητικό, κάντε κλικ στο Συνέχεια.

Τώρα περιμένουμε τον υπάλληλο StartSSL να επιβεβαιώσει το πιστοποιητικό. Υπόσχονται μέσα σε 3 ώρες, αλλά στην πράξη όλα γίνονται πολύ πιο γρήγορα, έπρεπε να περιμένω 10 λεπτά. Προηγουμένως παρήγγειλα τη νύχτα - το αίτημα επιβεβαιώθηκε περίπου την ίδια ώρα.

Λήψη πιστοποιητικού

Το μόνο που έχουμε να κάνουμε είναι να αποκτήσουμε το πιστοποιητικό και να το εγκαταστήσουμε στον διακομιστή. Μεταβείτε στο Tool Box -> Retrieve Certificate, επιλέξτε τον τομέα και αντιγράψτε το πιστοποιητικό.

Δεν θα γράψω για την εγκατάσταση οι πληροφορίες είναι διαθέσιμες στο Habré και στο StartSSL.

Περάστε την επαλήθευση (2ο επίπεδο επαλήθευσης)

Για να καταργήσετε τους περιορισμούς του δωρεάν πιστοποιητικού, πρέπει να περάσετε από την αναγνώριση. Για να το κάνετε αυτό, στον Οδηγό επικυρώσεων, επιλέξτε Επικύρωση προσωπικής ταυτότητας, περάστε από πολλά βήματα και μας ζητείται να ανεβάσουμε έγγραφα


Για να ανεβάσετε έγγραφα χρειάζεται μόνο να τα επιλέξετε στο πεδίο. Πρέπει να ανεβάσετε τουλάχιστον 2 έγγραφα που αποδεικνύουν την ταυτότητά σας (πρωτοσέλιδο διαβατηρίου, άδεια οδήγησης, ταυτότητα, κάρτα κοινωνικής ασφάλισης, πιστοποιητικό γέννησης κ.λπ., ανέβασα πρωτοσέλιδο διαβατηρίου και φοιτητική ταυτότητα). Ενδέχεται να ζητήσουν πρόσθετα έγγραφα - μου ζήτησαν έναν λογαριασμό τηλεφώνου, ο οποίος δείχνει τη διεύθυνση, τον αριθμό τηλεφώνου και το όνομά μου, εναλλακτικά, μπορείτε να λάβετε μια επιστολή με αναλογικό ταχυδρομείο για να επαληθεύσετε τη διεύθυνση.

Αυτό είναι όλο, η προετοιμασία για επαλήθευση έχει ολοκληρωθεί. Θα πρέπει να λάβετε ένα email από την υποστήριξη με περαιτέρω οδηγίες. Μετά την ολοκλήρωση της επαλήθευσης, θα μπορείτε να εκδώσετε πιστοποιητικά WildCart εντός 350 ημερών. Στη συνέχεια θα χρειαστεί να ξαναπεράσετε το τεστ.

Μερικά στοιχεία για το StartSSL

• Στις 25 Μαΐου 2011, το StartSSL δέχτηκε επίθεση από χάκερς δικτύου (κοινώς γνωστοί ως χάκερ), αλλά απέτυχαν να αποκτήσουν εικονικά πιστοποιητικά. Το ιδιωτικό κλειδί, το οποίο αποτελεί τη βάση όλων των συναλλαγών, αποθηκεύεται σε ξεχωριστό υπολογιστή που δεν είναι συνδεδεμένος στο Διαδίκτυο.
• Το StartSSL παρέχει, εκτός από τα πιστοποιητικά SSL για τον Ιστό, πιστοποιητικά για κρυπτογράφηση αλληλογραφίας (S/MIME), για κρυπτογράφηση διακομιστών XMPP (Jabber) και πιστοποιητικά υπογραφής κώδικα αντικειμένου.
• Το StartSSL επαληθεύει ότι τα πιστοποιητικά έχουν εγκατασταθεί σωστά. Μετά την εγκατάσταση του πιστοποιητικού (μετά από κάποιο χρονικό διάστημα), έλαβα μια ειδοποίηση σχετικά με την απουσία ενδιάμεσου πιστοποιητικού και μια σύνδεση με πληροφορίες εγκατάστασης.
  Μετά την εγκατάσταση του ενδιάμεσου πιστοποιητικού, ελήφθη μια αντίστοιχη επιστολή.
• Το StartSSL υποστηρίζεται από πολλά λογισμικά: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, iPhone, Windows
• Φιλική υποστήριξη στα ρωσικά
• Συγκριτικός πίνακας επιλογών επαλήθευσης

Προσθήκη ετικετών

Ένα πιστοποιητικό SSL (από το English Secure Sockets Layer) είναι ένα πρωτόκολλο για την κωδικοποίηση δεδομένων που πηγαίνουν από τον χρήστη στον διακομιστή και πίσω.

Πώς λειτουργεί ένα πιστοποιητικό SSL;

Ο διακομιστής έχει ένα κλειδί με το οποίο κρυπτογραφούνται όλα τα δεδομένα που ανταλλάσσονται με τον χρήστη. Το πρόγραμμα περιήγησης του χρήστη λαμβάνει ένα μοναδικό κλειδί (το οποίο είναι γνωστό μόνο σε αυτόν) και έτσι προκύπτει μια κατάσταση όπου μόνο ο διακομιστής και ο χρήστης μπορούν να αποκρυπτογραφήσουν τις πληροφορίες. Ένας χάκερ μπορεί σίγουρα να υποκλέψει τα δεδομένα, αλλά είναι σχεδόν αδύνατο να τα αποκρυπτογραφήσει.

Γιατί ένας κάτοχος ιστότοπου χρειάζεται πιστοποιητικό SSL;

Εάν ο ιστότοπός σας απαιτεί εγγραφή για χρήστες, ηλεκτρονικές αγορές κ.λπ., τότε ένα πιστοποιητικό SSL θα είναι ένα καλό μήνυμα στον χρήστη ότι ο ιστότοπός σας μπορεί να είναι αξιόπιστος. Σήμερα, πολλοί χρήστες δεν το γνωρίζουν αυτό και χωρίς δισταγμό μεταφέρουν τα στοιχεία της πιστωτικής τους κάρτας σε διάφορους ιστότοπους. Όμως στο μέλλον θα υπάρχουν όλο και λιγότεροι τέτοιοι άνθρωποι, γιατί... μετά την πρώτη απώλεια χρημάτων από μια κάρτα, ένα άτομο σκέφτεται αμέσως "τι πρέπει να γίνει για να μην εξαφανιστούν τα χρήματα;", "ποιους ιστότοπους μπορούν να εμπιστευτούν;". Ως αποτέλεσμα, μια ασφαλής σύνδεση υποδεικνύεται από την παρουσία του πρωτοκόλλου https:// στη διεύθυνση του ιστότοπου ή αυτού του τύπου γραμμής διευθύνσεων στο πρόγραμμα περιήγησης.

Πώς να αποκτήσετε ένα πιστοποιητικό SSL;

Τα πιστοποιητικά SSL εκδίδονται από ειδικές αρχές πιστοποίησης, οι πιο δημοφιλείς στον κόσμο είναι οι Thawte, Comodo και Symantec. Αλλά έχουν όλα μια αγγλόφωνη διεπαφή, η οποία δημιουργεί ορισμένες ενοχλήσεις για τους εγχώριους χρήστες. Επομένως, τώρα υπάρχουν πολλές εταιρείες που ενεργούν ως μεσάζοντες και πωλούν πιστοποιητικά SSL. Το ίδιο κάνουν οι μεγάλες εταιρείες φιλοξενίας και οι καταχωρητές τομέα. Συνιστούμε να αγοράσετε πιστοποιητικά από hosters υψηλής ποιότητας ή καταχωρητές τομέα. Ακόμα καλύτερα, αγοράστε τα από την εταιρεία με την οποία καταχωρίσατε το domain σας. Κατά κανόνα, οι εταιρείες αυτές συνεργάζονται με κέντρα πιστοποίησης και λόγω όγκου έχουν σημαντική έκπτωση. Επομένως, η τελική τιμή για εσάς πιθανότατα δεν θα αλλάξει.

Τι τύποι πιστοποιητικών SSL υπάρχουν;

επίπεδο εισόδου

Κατά κανόνα, τέτοια πιστοποιητικά αγοράζονται εάν δεν υπάρχει ανάγκη επιβεβαίωσης μιας εταιρείας (ή δεν υπάρχει καθόλου εταιρεία και ο ιστότοπος ανήκει σε ιδιώτη), αλλά χρειάζεται μόνο μια ασφαλής σύνδεση.

• φθηνότερο
• Χρόνος παράδοσης: αρκετές ώρες
• Επιβεβαιώνουν τα δικαιώματα στον τομέα, αλλά δεν επιβεβαιώνουν την εταιρεία
• Για νομικά, φυσικά και φυσικά πρόσωπα
• Δεν χρειάζονται έγγραφα

Ενδιάμεσο επίπεδο

Τέτοια πιστοποιητικά μπορούν ήδη να επιβεβαιώσουν την εταιρεία του κατόχου του τομέα, γεγονός που δημιουργεί μεγαλύτερη εμπιστοσύνη μεταξύ των επισκεπτών του ιστότοπου. Εξάλλου, τα έγγραφα της εταιρείας ελέγχονται από ένα κέντρο πιστοποίησης, το οποίο θα πρέπει να εμπνέει τη μέγιστη εμπιστοσύνη των χρηστών. Σε αυτήν την περίπτωση, η διεύθυνση τοποθεσίας στο πρόγραμμα περιήγησης επισημαίνεται με πράσινο χρώμα.

• Μέσο κόστος
• Χρόνος παράδοσης: εντός μιας εβδομάδας
• Επαληθεύστε την εταιρεία που κατέχει τον τομέα
• Μόνο για νομικά πρόσωπα
• Απαιτούνται έγγραφα που επιβεβαιώνουν την εταιρεία σας και τη διεύθυνσή της

υψηλό επίπεδο

Αυτά τα πιστοποιητικά έχουν όλους τους δείκτες του Μέσου επιπέδου, αλλά η τιμή τους είναι πιο ακριβή λόγω του παιχνιδιού μάρκετινγκ των κέντρων πιστοποίησης. Έτσι, για παράδειγμα, μπορείτε να τα χρησιμοποιήσετε όχι μόνο στον κύριο τομέα, αλλά και σε υποτομείς (για παράδειγμα, forum.mysite.com, κ.λπ.), ή οι χρήστες με παλιά προγράμματα περιήγησης θα μπορούν να χρησιμοποιούν μια ασφαλή σύνδεση. Η μέγιστη περίοδος εγγραφής πιστοποιητικού εξαρτάται επίσης από το επίπεδο του πιστοποιητικού. Κατά κανόνα, είναι 1-4 χρόνια από την ημερομηνία έκδοσης.

Πόσο κοστίζει ένα πιστοποιητικό SSL;

Η τιμή κυμαίνεται από 30 έως 1200 δολάρια ΗΠΑ ετησίως. Υπάρχουν όμως και δωρεάν επιλογές, με τη μορφή δωρεάν επιλογών, αν και η χρήση τους δεν είναι απολύτως βολική.

Τι χρειάζεστε για να πάρετε;

Για πιστοποιητικά χαμηλού επιπέδου

• e-mail (πρέπει να ανήκει στον ιστότοπό σας, για παράδειγμα, για τον ιστότοπο mysite.com το email μπορεί να είναι [email προστατευμένο]
• Όνομα ή οργανισμός
• Διεύθυνση

Για πιστοποιητικά ανώτερου επιπέδου

Εδώ ελέγχεται ο οργανισμός, επομένως σε αυτό που αναφέρεται παραπάνω θα πρέπει να προσθέσετε:

• Τηλέφωνο
• Έγγραφα που επιβεβαιώνουν τον οργανισμό (αριθμός εγγραφής εταιρείας ή παρόμοια έγγραφα). Σε γενικές γραμμές, για κάθε χώρα η λίστα
• τα έγγραφα είναι διαφορετικά, αλλά να είστε προετοιμασμένοι για σοβαρό έλεγχο, σε σημείο που θα πρέπει να στείλετε αντίγραφο της σύμβασης για την παροχή υπηρεσιών επικοινωνίας για να επιβεβαιώσετε τον αριθμό τηλεφώνου. Η αποστολή σαρωμένων αντιγράφων εγγράφων είναι δυνατή με φαξ και email.

Επίσης, για να αποκτήσετε πιστοποιητικό SSL, ο τομέας πρέπει να έχει απενεργοποιημένο το WHOIS-Protect (απόκρυψη δεδομένων τομέα). Σήμερα αυτός ο κανόνας δεν ισχύει μόνο για domains.ru και.рф. Και όμως, η δημιουργία ΕΚΕ είναι υποχρεωτική.

Τι είναι η ΕΚΕ;

Το CSR (Certificate Signing Request) είναι ένα κρυπτογραφημένο αίτημα που πρέπει να επισυναφθεί στην αίτηση που αποστέλλεται στην αρχή πιστοποίησης. Αυτό το αίτημα πρέπει να δημιουργηθεί στον διακομιστή στον οποίο βρίσκεται ο ιστότοπός σας. Η διαδικασία δημιουργίας CSR εξαρτάται από τον διακομιστή, ή πιο συγκεκριμένα από το λογισμικό που είναι εγκατεστημένο σε αυτόν. Εάν αγοράσετε ένα πιστοποιητικό μέσω της εταιρείας φιλοξενίας όπου βρίσκεται ο ιστότοπός σας, τότε πιθανότατα θα σας παρουσιαστεί μια βολική διεπαφή για τη δημιουργία CSR. Εάν δεν υπάρχει, τότε θα σας πούμε πώς να το κάνετε για το πιο κοινό λογισμικό διακομιστή (Linux\Apache).

Πώς να δημιουργήσετε ΕΚΕ;

1. Συνδεθείτε στον διακομιστή μέσω σύνδεσης SSH

Χρησιμοποιούμε το πρόγραμμα PuTTY. Στη γραμμή εντολών εισάγετε:

openssl genrsa -out myprivate.key 2048

Με αυτόν τον τρόπο δημιουργούμε ένα ιδιωτικό κλειδί για το CSR. Σε αυτήν την περίπτωση, θα τεθούν δύο ερωτήσεις: "Εισαγάγετε τη φράση πρόσβασης για το private.key" και "Επαλήθευση - Εισαγάγετε τη φράση πρόσβασης για το myprivate.key" - αυτό είναι ένα αίτημα για να εισαγάγετε τον κωδικό πρόσβασης για το κλειδί δύο φορές. Είναι σημαντικό να το θυμάστε, γιατί... θα χρειαστεί στο επόμενο βήμα. Ως αποτέλεσμα, θα δημιουργηθεί το αρχείο myprivate.key.

2. Δημιουργία ΕΚΕ

Εισαγάγετε την εντολή:

openssl req -new -key myprivate.key -out domain-name.csr

Απλώς αλλάξτε το όνομα τομέα στο όνομα τομέα σας. Στη συνέχεια, απαντώντας στην ερώτηση "Εισαγάγετε τη φράση πρόσβασης για το myprivate.key", εισαγάγετε τον κωδικό πρόσβασης που ορίσαμε στο προηγούμενο βήμα.

Μετά από αυτό, συμπληρώστε μόνο με αγγλικά γράμματα:

Όνομα χώρας - Κωδικός χώρας σε μορφή ISO-3166 (χρειαζόμαστε έναν κωδικό δύο γραμμάτων, πάρτε τον από τη στήλη Alpha-2).
Όνομα πολιτείας ή επαρχίας: Περιοχή ή περιοχή\πολιτεία;
Όνομα τοποθεσίας: Πόλη;
Όνομα οργανισμού: Οργανισμός;
Όνομα οργανωτικής μονάδας: Τμήμα (προαιρετικό);
Κοινό Όνομα: όνομα τομέα;
Διεύθυνση Email: το email σας (προαιρετικό πεδίο).
Ένας κωδικός πρόσβασης πρόκλησης: (δεν χρειάζεται να συμπληρώσετε)
Προαιρετικό όνομα εταιρείας: Άλλο όνομα του οργανισμού (δεν χρειάζεται να συμπληρωθεί).

Όλα τα δεδομένα που εισάγονται πρέπει να είναι αληθή και να ταιριάζουν με αυτά που συμπληρώσατε κατά την εγγραφή του τομέα (μπορείτε να τα ελέγξετε μέσω των υπηρεσιών WHOIS). Ως αποτέλεσμα αυτών των λειτουργιών, θα δημιουργηθεί ένα αρχείο domain-name.csr στον διακομιστή. Πρέπει να αποθηκευτεί και στη συνέχεια να επισυναφθεί στην αίτηση για πιστοποιητικό SSL, το οποίο υποβάλλεται στην αρχή πιστοποίησης.

Τι πρέπει να κάνετε μετά τη λήψη πιστοποιητικού SSL;

Αφού λάβετε το πιστοποιητικό, πρέπει να το εγκαταστήσετε στον διακομιστή. Η διαδικασία εγκατάστασης είναι αρκετά απλή, αλλά ποικίλλει σημαντικά ανάλογα με το λογισμικό διακομιστή. Επομένως, αναζητήστε οδηγίες στον ιστότοπο του παρόχου φιλοξενίας ή ακόμα καλύτερα, επικοινωνήστε με την τεχνική υποστήριξη για να ρυθμίσετε τα πάντα σωστά.

Τι να κάνετε εάν τα δεδομένα του οργανισμού έχουν αλλάξει ή η φιλοξενία έχει αλλάξει;

Σε τέτοιες περιπτώσεις, πρέπει να επανεκδώσετε το πιστοποιητικό SSL, αλλά αυτό θα πρέπει να γίνει χωρίς κόστος για εσάς.