უსაფრთხოება 

ჩვენ ვიღებთ დომენის სახელს, DNS და SSL სერთიფიკატს უფასოდ. უფასო SSL სერთიფიკატები IDN (კირიული) დომენებისთვის და მესამე დონის დომენებისთვის (ქვედომენებისთვის)

2011 წლის 3 სექტემბერი, 17:36

მიიღეთ უფასო SSL სერთიფიკატი

  • სისტემის ადმინისტრირება
  • სახელმძღვანელო

დააჭირეთ Sing-up და გადადით რეგისტრაციაზე, სადაც ვავსებთ მცირე ფორმას. ყველა ველი სავალდებულოა, თქვენ უნდა შეიყვანოთ რეალური მონაცემები, მათ შეუძლიათ შეამოწმონ თქვენი ვინაობა და გააუქმონ სერთიფიკატი, დაბლოკონ თქვენი ანგარიში. თქვენ უნდა შეიყვანოთ თქვენი სახლის მისამართი და არა სამსახურის მისამართი. ასევე სასურველია, რომ ლათინური ანბანი იყოს გამოყენებული რეგისტრაციისას - ეს ხელს შეუწყობს მნიშვნელოვნად შეამციროს ანგარიშის რეგისტრაციის დადასტურებისთვის საჭირო დრო.

ჩვენ გვთხოვენ შეიყვანოთ დამადასტურებელი კოდი, რომელიც გაიგზავნა ელექტრონული ფოსტით. შევიდეთ. შემდეგი, ჩვენ გვთხოვენ ავირჩიოთ თქვენი სერთიფიკატის გასაღების ზომა (საიტზე ავტორიზაციისთვის) 2048 ან 4096.

სერტიფიკატი გენერირებულია და ჩვენ უნდა დავადასტუროთ მისი ინსტალაცია ბრაუზერში.



დომენის გადამოწმება

სერტიფიკატის მიღებამდე ჩვენ უნდა დავადასტუროთ დომენის მფლობელობა. ამისათვის გადადით Validations Wizard განყოფილებაში და აირჩიეთ Domain Name Validation

შეიყვანეთ დომენი

აირჩიეთ ელფოსტა, რომელზედაც გაიგზავნება დამადასტურებელი ელფოსტა (პოსტმასტერი, მასპინძელი, ვებმასტერი ან ელფოსტა whois-ისგან)

ვიღებთ წერილს და ველში ვწერთ მისგან კოდს. სულ ეს არის - დომენი დადასტურებულია, შეგიძლიათ დაიწყოთ სერტიფიკატის გენერირება. 30 დღის განმავლობაში შეგვიძლია სერტიფიკატის გამომუშავება. შემდეგი, თქვენ უნდა გაიმეოროთ გადამოწმების პროცედურა.

სერტიფიკატის გენერირება

გადადით Certificates Wizard განყოფილებაში და აირჩიეთ ვებ სერვერის SSL/TSL სერთიფიკატი

შემდეგი, ჩვენ გვაქვს 2 ვარიანტი - ან დააწკაპუნეთ Skip-ზე და შეიყვანეთ მოთხოვნა სერთიფიკატის გენერირების შესახებ, ან გენერირება ყველაფერი ოსტატში. ვთქვათ, ჩვენ არ გვაქვს სერთიფიკატის მოთხოვნა, ასე რომ, ჩვენ გამოვქმნით ყველაფერს ამ ოსტატიდან.

შეიყვანეთ გასაღების პაროლი (მინ. 10 სიმბოლო - მაქს. 32) და გასაღების ზომა (2048\4096).

ჩვენ ვიღებთ და ვინახავთ გასაღებს.

ვირჩევთ დომენს, რომლისთვისაც გამოვქმნით სერტიფიკატს (დომენი უკვე დამოწმებული უნდა იყოს).

ჩვენ გვეძლევა უფლება სერთიფიკატში ჩავრთოთ ერთი ქვედომენი – იყოს ეს სტანდარტული www

ჩვენ მივიღეთ გარკვეული ინფორმაცია სერტიფიკატის შესახებ, დააწკაპუნეთ გაგრძელებაზე.

ახლა ჩვენ ველოდებით StartSSL თანამშრომელს, რომ დაადასტუროს სერტიფიკატი. გპირდებიან 3 საათში, მაგრამ პრაქტიკაში ყველაფერი ბევრად უფრო სწრაფად ხდება, 10 წუთი მომიწია ლოდინი. ადრე მე შევუკვეთე ღამით - მოთხოვნა დადასტურდა დაახლოებით იმავე დროს.

სერთიფიკატის მიღება

ჩვენ მხოლოდ უნდა მივიღოთ სერთიფიკატი და დავაინსტალიროთ სერვერზე. გადადით Tool Box -> Retrieve Certificate, აირჩიეთ დომენი და დააკოპირეთ სერთიფიკატი.

არ დავწერ ინსტალაციის შესახებ; ინფორმაცია ხელმისაწვდომია StartSSL-ზე.

ვერიფიკაციის გავლა (ვერიფიკაციის მე-2 დონე)

უფასო სერტიფიკატის შეზღუდვის მოსახსნელად, თქვენ უნდა გაიაროთ იდენტიფიკაცია. ამისათვის, Validations Wizard-ში აირჩიეთ Personal Identity Validation, გაიარეთ რამდენიმე ნაბიჯი და მოგვთხოვენ დოკუმენტების ატვირთვას


დოკუმენტების ასატვირთად თქვენ მხოლოდ უნდა აირჩიოთ ისინი ველში. თქვენ უნდა ატვირთოთ მინიმუმ 2 დოკუმენტი, რომელიც დაადასტურებს თქვენს პირადობას (პასპორტის წინა გვერდი, მართვის მოწმობა, პირადობის მოწმობა, სოციალური დაცვის ბარათი, დაბადების მოწმობა და ა.შ., მე ავტვირთე პასპორტის პირველი გვერდი და სტუდენტური პირადობის მოწმობა). შეიძლება მოითხოვონ დამატებითი საბუთები - მთხოვეს ტელეფონის ანგარიში, სადაც მითითებულია ჩემი მისამართი, ტელეფონის ნომერი და სახელი ალტერნატიულად, შეგიძლიათ მიიღოთ წერილი ანალოგური ფოსტით მისამართის გადასამოწმებლად.

ესე იგი, გადამოწმებისთვის მზადება დასრულებულია. თქვენ უნდა მიიღოთ ელ.წერილი მხარდაჭერისგან დამატებითი ინსტრუქციებით. ვერიფიკაციის დასრულების შემდეგ, თქვენ შეძლებთ WildCart-ის სერთიფიკატების გაცემას 350 დღის განმავლობაში. შემდეგ თქვენ კვლავ უნდა გაიაროთ ტესტი.

რამდენიმე ფაქტი StartSSL-ის შესახებ

  • 2011 წლის 25 მაისს StartSSL თავს დაესხნენ ქსელის ჰაკერებს (საყოველთაოდ ცნობილი როგორც ჰაკერები), მაგრამ მათ ვერ მიიღეს ფიქტიური სერთიფიკატები. პირადი გასაღები, რომელიც ემყარება ყველა ტრანზაქციას, ინახება ცალკე კომპიუტერზე, რომელიც არ არის დაკავშირებული ინტერნეტთან.
  • StartSSL აწვდის, გარდა SSL სერთიფიკატების ვებსაიტზე, სერთიფიკატებს ფოსტის დაშიფვრისთვის (S/MIME), XMPP (Jabber) სერვერების დაშიფვრისთვის და ობიექტის კოდის ხელმოწერის სერთიფიკატებს.
  • StartSSL ადასტურებს, რომ სერთიფიკატები სწორად არის დაინსტალირებული. სერთიფიკატის დაყენების შემდეგ (გარკვეული დროის შემდეგ), მე მივიღე შეტყობინება შუალედური სერთიფიკატის არარსებობის შესახებ და ინსტალაციის ინფორმაციის ბმული.
    შუალედური სერტიფიკატის დაყენების შემდეგ მიღებული იქნა შესაბამისი წერილი.
  • StartSSL-ს აქვს მრავალი პროგრამული უზრუნველყოფის მხარდაჭერა: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, iPhone, Windows.
  • მეგობრული მხარდაჭერა რუსულ ენაზე
  • გადამოწმების ვარიანტების შედარების ცხრილი
  • startssl
ტეგების დამატება

ხშირად ვიღებთ მოთხოვნებს იმის შესახებ, თუ როგორ მივიღოთ SSL სერტიფიკატი ლოკალური დომენისთვის (.local) ან IP მისამართისთვის. თუ ადრე ცალკეული ტიპის SSL სერთიფიკატების მიღება შეიძლებოდა IP მისამართისთვის ან შიდა დომენისთვის, ახლა, სამწუხაროდ, ეს აღარ არის შესაძლებელი. შიდა სერთიფიკატების შეკვეთა, როგორიცაა Comodo IntranetSSL, აღარ არის შესაძლებელი და ლოკალური .local დომენების მხარდაჭერილი მრავალდომენიანი სერთიფიკატები მოქმედებს მხოლოდ 2015 წლის 31 ოქტომბრამდე. რაც შეეხება ადრე გაცემულ SSL სერთიფიკატებს შიდა დომენებისა და IP მისამართებისთვის, 2016 წლის 1 ოქტომბერს ისინი გაუქმდება ან დაიბლოკება ბრაუზერების მიერ.

რატომ გაუქმდა SSL სერთიფიკატები IP და ლოკალური დომენებისთვის?

გადაწყვეტილება SSL სერთიფიკატების გაცემის შეწყვეტის შესახებ .local დომენებისთვის და IP მისამართებისთვის მიღებულ იქნა სერტიფიკაციის ორგანოებისა და ბრაუზერების ფორუმზე (CA/B ფორუმი).

სერტიფიკატის ორგანოების ყველაზე მნიშვნელოვანი მიზანი SSL სერთიფიკატების გაცემისას არის საიმედოობისა და ნდობის უზრუნველყოფა კრიპტოგრაფიული საჯარო გასაღების მონაცემების დამოწმებულ ინდივიდთან ან კომპანიასთან ასოცირების გზით. SSL სერთიფიკატები იდენტიფიცირებენ კომპიუტერებს, როგორც სერვერებს, რომლებიც გვთავაზობენ ერთ ან მეტ პროტოკოლს (ჩვეულებრივ, HTTP ვებ ტრაფიკისთვის, მაგრამ ასევე SMTP, POP, IMAP, FTP, XMPP, RDP და სხვა) SSL/TLS-ზე.

სერვერთან დაკავშირება შესაძლებელია რამდენიმე სახელით ან მისამართით. ინტერნეტთან დაკავშირებულ სერვერს, როგორც წესი, აქვს საკუთარი სახელი დომენის სახელების სისტემაში (DNS), რომელიც საშუალებას აძლევს ნებისმიერ სხვა სისტემას ინტერნეტში გადაჭრას ეს სახელი IP მისამართში და შევიდეს სერვერზე. მაგალითად, ავიღოთ სერვერი დომენის სახელით "server1234.site". ამ სისტემას აქვს მარშრუტირებადი IP მისამართი ინტერნეტში - IPv4 ან IPv6, ან ორივე ერთად.

თუმცა, სერვერებს შეიძლება ჰქონდეთ დამატებითი სახელები და მისამართები, რომლებიც მოქმედებს მხოლოდ ლოკალური ქსელის კონტექსტში და არა მთელ ინტერნეტში. ამრიგად, იმავე სერვერზე ზემოაღნიშნული მაგალითიდან შესაძლებელია წვდომა სხვა კომპიუტერებზე ლოკალურ ქსელში სახელწოდებით „mail“ ან „mail.local“.

ადგილობრივი დომენის სახელი შეიძლება გარდაიქმნას მარშრუტირებად IP მისამართად ინტერნეტში ან IP მისამართად, რომელიც ხელმისაწვდომია მხოლოდ ლოკალურ ქსელში. "192.168.*.*" IP მისამართების სივრცე, რომელსაც ბევრი სახლის ინტერნეტ კარიბჭე იყენებს, შესაძლოა, პერსონალური ქსელის მისამართების ყველაზე ცნობილი სერიაა. მაგრამ ასევე არის მრავალი IPv4 და IPv6 IP მისამართის სივრცე, რომელიც დაცულია პირადი ან სხვა გამოყენებისთვის.

ამ ორი ტიპის დომენის სახელსა და IP მისამართებს შორის მთავარი განსხვავებაა მათი უნიკალურობა. პ სრულად კვალიფიციური დომენის სახელი (FQDN), როგორიცაა „www.site“, წარმოადგენს უნიკალურ და ადვილად გამორჩეულ ერთეულს ინტერნეტში (იმ შემთხვევაშიც კი, თუ ამ დომენის სახელზე რამდენიმე სერვერი პასუხობს, მხოლოდ ერთ ადამიანს შეუძლია მისი მართვა). ამავდროულად, ათასობით სისტემას საჯარო და კერძო (ლოკალურ) ქსელებზე შეუძლია უპასუხოს დაუზუსტებელ დომენურ სახელს „ფოსტა“. ინტერნეტში მხოლოდ ერთ საკომუნიკაციო კვანძს აქვს IP მისამართი „5.63.155.56“, ხოლო ათიათასობით სახლის ინტერნეტ კარიბჭეს აქვს მისამართი „192.168.0.1“.

SSL სერთიფიკატები სანდო სერტიფიკატების ორგანოებიდან გაიცემა დომენური სახელების უსაფრთხოებისა და ნდობის უზრუნველსაყოფად მთელ ინტერნეტში. არაუნიკალური დომენური სახელები, თავისი ბუნებით, შეუძლებელია მათი ადგილობრივი კონტექსტის მიღმა იდენტიფიცირება, ამიტომ ადგილობრივი დომენებისთვის გაცემული SSL სერთიფიკატები პოტენციურად საშიშია, რადგან მათი გამოყენება შესაძლებელია თაღლითური მიზნებისთვის.

სწორედ ამ მიზეზით, სერტიფიკატის ორგანოები უარს ამბობენ SSL სერთიფიკატების გაცემაზე არაუნიკალურ დომენებზე და IP მისამართებზე, როგორიცაა "mail", "mail.local" ან "192.168.0.1".

რატომ არის საშიში SSL სერთიფიკატების გამოყენება ლოკალური დომენებისა და IP მისამართებისთვის?

მაგალითად, ავიღოთ კომპანია, რომელმაც განათავსა ელექტრონული ფოსტის სისტემა "https://mail/". სისტემა არ არის ხელმისაწვდომი მსოფლიო ქსელის საშუალებით, მაგრამ მხოლოდ ადგილობრივი კორპორატიული ქსელის ან VPN-ის საშუალებით. უსაფრთხოა?

არ არის აუცილებელი, თუ თქვენ გაქვთ SSL სერთიფიკატი "ფოსტის" დომენის სახელისთვის სანდო სერტიფიკაციის ორგანოსგან. დომენის სახელი „ფოსტა“ არ არის უნიკალური, ამიტომ თითქმის ყველას შეუძლია მიიღოს SSL სერთიფიკატი „https://mail/“-ისთვის. თუ თავდამსხმელი იყენებს ასეთ სერთიფიკატს კორპორატიულ LAN-ზე ლოკალური სახელის გაყალბებასთან ერთად, მას შეუძლია ადვილად გააფუჭოს ნამდვილი კორპორატიული ელ.ფოსტის სერვერი და მიიღოს მომხმარებლის შესვლის სერთიფიკატები და სხვა მგრძნობიარე ინფორმაცია. უფრო მეტიც, თაღლითს არც კი სჭირდება კორპორატიულ ქსელში ყოფნა შეტევის წარმატებით განსახორციელებლად. თუ მომხმარებელი აკავშირებს თავის კორპორატიულ ლეპტოპს საჯარო WiFi ქსელთან, ელფოსტის კლიენტმა შეიძლება ავტომატურად სცადოს „https://mail/“-თან დაკავშირება VPN კავშირის დამყარებამდე. ამ ეტაპზე, თავდამსხმელს შეუძლია ჩაანაცვლოს და მოიპაროს მომხმარებლის მონაცემები.

აქ უნდა აღინიშნოს, რომ არ აქვს მნიშვნელობა SSL სერთიფიკატი გამოყენებული იყო ცნობილი სანდო სერტიფიკატის ორგანოსგან (როგორიცაა Comdo, Thawte, Symantec და სხვები), თუ SSL სერტიფიკატი კერძო კორპორატიული სერტიფიკატის ორგანოსგან. თუ თაღლითის მიერ გამოყენებული SSL სერთიფიკატი მიბმულია სერთიფიკატის ორგანოსთან ბრაუზერის ან ოპერაციული სისტემის საცავში, სერთიფიკატი მიიღება ყველა კლიენტის მიერ, რაც შექმნის დაუცველობას თუნდაც პირადი გასაღების ინფრასტრუქტურის (PKI) მომხმარებლის მხარეს.

იმის გამო, რომ შეუძლებელია ლოკალური დომენებისა და IP მისამართების სრული შემოწმების ჩატარება, ისევე როგორც ასეთი SSL სერთიფიკატების თაღლითური მიზნებისთვის გამოყენების მაღალი შესაძლებლობის გამო, CA-მ და ბრაუზერის ფორუმმა გადაწყვიტეს შეაჩერონ მათი გაცემა.

რა არის ალტერნატივები?

1. გამოიყენეთ დომენის სრულად კვალიფიციური სახელები (FQDN) და დომენის სუფიქსის DNS ძიება.

ლოკალური დომენის სახელით მისაწვდომ საიტებზე შეიძლება ასევე მიაღწიოს და სწორად იდენტიფიცირება FQDN-ით, რადგან DNS კლიენტის პროგრამული უზრუნველყოფა იყენებს პროცესს, რომელსაც ეწოდება სუფიქსის ძიება, სადაც კონფიგურირებული სუფიქსები ემატება ადგილობრივ სახელს და შედეგი არის სრულად კვალიფიციური FQDN დომენი. როგორც წესი, ეს ხდება ავტომატურად იმ დომენებისთვის, რომელთა ნაწილიც სისტემაა. მაგალითად, სისტემა სახელად "client.example.com" იყენებს "example.com" საძიებო სუფიქსად. სახელთან "სერვერთან" კავშირის დამყარების მცდელობისას, ეს სისტემა ავტომატურად შეეცდება იპოვოთ "server.example.com" DNS საძიებო საშუალებით. თქვენ შეგიძლიათ დააკონფიგურიროთ DNS ძიება დომენის სუფიქსისთვის.

თუ იყენებთ .local დომენს თქვენი შიდა ქსელისთვის, ეს მეთოდი არ გამოგადგებათ, გირჩევთ გაითვალისწინოთ შემდეგი.

გამარჯობა, ჰაბრ. ეს პოსტი განკუთვნილია უფასო თამაშების მოყვარულთათვის და შეიცავს დომენის სახელის მოპოვების მზა რეცეპტს, DNS სერვერის სერვისებს და SSL სერთიფიკატს, რომლის ღირებულებაა 0 რუბლი 0 კაპიკი. უფასო ყველი მოდის მხოლოდ თაგვის ხაფანგში და ეს მართალია, ამიტომ ეს რეცეპტი უფრო სავარაუდოა მათთვის, ვისაც სურს ლამაზი ბმული მათი პირადი მცირე პროექტის https მხარდაჭერით და არა სერიოზული პროექტებისთვის.

დომენის სახელი

ჩვენ გადავდივართ ვებსაიტზე www.registry.cu.cc, იქვე ვწერთ სასურველ სახელს და ვაჭერთ შეამოწმეთ ხელმისაწვდომობა => გადახდათუ სასურველი სახელი ხელმისაწვდომია. რის შემდეგაც ჩვენ ვრეგისტრირდებით და გადავდივართ ჩვენს პირად ანგარიშზე, სადაც ვხედავთ ჩვენს დომენურ სახელებს.

img1



img2



ვპოულობთ სასურველ სახელს, გადადით სახელების სერვერიდა დაარეგისტრირეთ Yandex DNS იქ.

img3



img4


DNS სერვერი

შემდეგი, გადადით აქ pdd.yandex.ru/domains_add და დაამატეთ ახლად შექმნილი დომენის სახელი.

img5



ჩვენ ვხედავთ, რომ "დომენი ვერ მოიძებნა DNS-ში", ველოდებით სანამ Yandex იპოვის მას.

img6



შემდეგ ჩვენ ვადასტურებთ დომენის მფლობელობას შესაბამისი CNAME ჩანაწერის დამატებით, როგორც ეს წერია დეტალურ Yandex-ის ინსტრუქციებში. შემდეგ ველოდებით სანამ Yandex იპოვის საჭირო ჩანაწერს და დაადასტურებს დომენის მფლობელობას. შეიძლება საკმაოდ დიდი დრო დასჭირდეს.

img7



img8



img9



რის შემდეგაც ჩვენ ვხედავთ დიდი ხნის ნანატრი წარწერას, რომ დომენი დაკავშირებულია და დელეგირებულია Yandex DNS-ზე.

img10



შემდეგ მივდივართ DNS რედაქტორიდა დაამატეთ ჩანაწერი, რომელიც აკავშირებს დომენის სახელს თქვენი სერვერის IP მისამართთან.

img11



ამ A- ჩანაწერის ძალაში შესვლას შეიძლება საკმაოდ დიდი დრო დასჭირდეს. მოდით გავუშვათ რამე ლოკალურად (ბოლოს და ბოლოს, ჩვენ დავრეგისტრირდით სერვერის მისამართი 127.0.0.1) და ვნახოთ, როგორ გადაწყდება ჩვენი დომენი. მუშაობს!

ჰოო!



ეს ყველაფერი DNS სერვერზეა, ახლა მოდით გავაგრძელოთ SSL სერთიფიკატის მოპოვება და ჩვენს სერვერზე წვდომა https-ის საშუალებით (უსაფრთხოება პირველ ადგილზეა).

SSL სერთიფიკატი

გადადით www.startssl.com/Validate, დარეგისტრირდით, აირჩიეთ ვალიდაციის ოსტატი => დომენის ვალიდაცია (SSL სერთიფიკატისთვის), შეიყვანეთ ჩვენი დომენი

img12



და იქ ისინი გვთხოვენ დავამტკიცოთ, რომ ჩვენ ვფლობთ დომენს ელექტრონული ფოსტის გამოყენებით, ავირჩიოთ ის, რაც მოგვწონს, შევქმნათ ის Yandex-ში. იქ ვგზავნით წერილს, იქიდან ვიღებთ კოდს და ვამტკიცებთ, რომ დომენი გვეკუთვნის.

img13



img14



img15



შემდეგ მივდივართ სერთიფიკატების ოსტატი => ვებ სერვერის SSL/TLS სერთიფიკატი, მიუთითეთ ჩვენი დომენი, გენერირება და ჩასმა გასაღები და დააჭირეთ გაგზავნას

img16



გასაღები შეიძლება შეიქმნას შემდეგნაირად:
mkdir ./certificates mkdir ./certificates/habr.cu.cc cd ./certificates/habr.cu.cc openssl genrsa -out ./habr.cu.cc.key 2048 openssl req -new -sha256 -key ./habr. cu.cc.key -out ./habr.cu.cc.csr cat ./habr.cu.cc.csr
სერთიფიკატი მიღებულია! ჩამოტვირთეთ ჩვენი არქივი

img17


ამოალაგეთ და დააკოპირეთ ძირითადი ფაილები nginx დირექტორიაში

Cp ~/Downloads/habr.cu.cc/1_habr.cu.cc_bundle.crt /usr/local/etc/nginx/1_habr.cu.cc_bundle.crt cp ./habr.cu.cc.key /usr/local/etc /nginx/habr.cu.cc.key nano /usr/local/etc/nginx/nginx.conf
მოდით, ცოტათი ჩავასწოროთ კონფიგურაცია

სერვერი (
მოუსმინე 8080;
ssl on;
server_name localhost;
ssl_certificate /usr/local/etc/nginx/1_habr.cu.cc_bundle.crt;
ssl_certificate_key /usr/local/etc/nginx/habr.cu.cc.key;

გადატვირთეთ nginx

Nginx -s stop nginx
ჩვენ ვხსნით ჩვენს გვერდს https... და ყველაფერი მუშაობს!

ჰოო!



ჩვენ მივიღეთ დომენის სახელი, DNS სერვერის სერვისები და დამოწმებული SSL სერთიფიკატი ვინმეს პენის გადახდის გარეშე და ამავდროულად სრულიად ლეგალურად. ჩვენი ულტრა-მეგა-გიგა სერვისის გასაშვებად, რჩება მხოლოდ VPS-ის დაყენება და იქ ჩვენი პროგრამის განთავსება. სამწუხაროდ, დღეს უფასო VPS არის ძალიან კარგი და არარეალური, თქვენ კვლავ უნდა გადაიხადოთ VPS სერვერზე სისხლიანი დოლარით თქვენი ჯიბიდან. მაგრამ მიუხედავად ამისა, ყველას კარგი შაბათ-კვირა გისურვებთ და იმედი მაქვს, რომ ეს შენიშვნა ვინმეს გამოადგება.

SSL სერთიფიკატი (ინგლისური Secure Sockets Layer) არის პროტოკოლი მონაცემთა კოდირებისთვის, რომელიც მიდის მომხმარებლისგან სერვერზე და უკან.

როგორ მუშაობს SSL სერთიფიკატი?

სერვერს აქვს გასაღები, რომლითაც დაშიფრულია მომხმარებელთან გაცვლილი ნებისმიერი მონაცემი. მომხმარებლის ბრაუზერი იღებს უნიკალურ გასაღებს (რომელიც მხოლოდ მისთვის არის ცნობილი) და ამგვარად ჩნდება სიტუაცია, როდესაც მხოლოდ სერვერს და მომხმარებელს შეუძლია ინფორმაციის გაშიფვრა. ჰაკერს, რა თქმა უნდა, შეუძლია მონაცემების ჩაჭრა, მაგრამ მისი გაშიფვრა თითქმის შეუძლებელია.

რატომ სჭირდება ვებსაიტის მფლობელს SSL სერთიფიკატი?

თუ თქვენი საიტი მოითხოვს რეგისტრაციას მომხმარებლებისთვის, ონლაინ შესყიდვები და ა.შ., მაშინ SSL სერთიფიკატი იქნება კარგი სიგნალი მომხმარებლისთვის, რომ თქვენი საიტი შეიძლება იყოს სანდო. დღეს ბევრმა მომხმარებელმა არ იცის ამის შესახებ და უყოყმანოდ გადასცემს საკრედიტო ბარათის ინფორმაციას სხვადასხვა საიტებზე. მაგრამ მომავალში სულ უფრო და უფრო ნაკლები იქნება ასეთი ხალხი, რადგან... ბარათიდან ფულის პირველი დაკარგვის შემდეგ, ადამიანი მაშინვე ფიქრობს "რა უნდა გაკეთდეს იმისათვის, რომ ფული არ გაქრეს?", "რომელ საიტებს შეიძლება ენდოთ?". შედეგად, უსაფრთხო კავშირი მითითებულია https:// პროტოკოლის არსებობით საიტის მისამართში ან ამ ტიპის მისამართის ზოლში ბრაუზერში.

როგორ მივიღოთ SSL სერთიფიკატი?

SSL სერთიფიკატები გაიცემა სპეციალური სერტიფიცირების ორგანოების მიერ მსოფლიოში ყველაზე პოპულარული Thawte, Comodo და Symantec. მაგრამ ყველა მათგანს აქვს ინგლისურენოვანი ინტერფეისი, რაც გარკვეულ უხერხულობას ქმნის შიდა მომხმარებლებისთვის. ამიტომ, ახლა უამრავი კომპანიაა, რომლებიც შუამავლების როლს ასრულებენ და ყიდიან SSL სერთიფიკატებს. მსხვილი ჰოსტინგის კომპანიები და დომენის რეგისტრატორები იგივეს აკეთებენ. ჩვენ გირჩევთ შეიძინოთ სერთიფიკატები მაღალი ხარისხის ჰოსტერებისგან ან დომენის რეგისტრატორებისგან. კიდევ უკეთესი, შეიძინეთ ისინი იმ კომპანიისგან, რომელთანაც დაარეგისტრირეთ თქვენი დომენი. როგორც წესი, ეს კომპანიები თანამშრომლობენ სასერტიფიკაციო ცენტრებთან და მოცულობის გამო, აქვთ მნიშვნელოვანი ფასდაკლება. ამიტომ, თქვენთვის საბოლოო ფასი, სავარაუდოდ, არ შეიცვლება.

რა ტიპის SSL სერთიფიკატები არსებობს?

შესვლის დონე

როგორც წესი, ასეთი სერთიფიკატების შეძენა ხდება იმ შემთხვევაში, თუ არ არის საჭირო კომპანიის დადასტურება (ან საერთოდ არ არის კომპანია და საიტი კერძო პირს ეკუთვნის), მაგრამ საჭიროა მხოლოდ უსაფრთხო კავშირი.

  • ყველაზე იაფად
  • მიწოდების დრო: რამდენიმე საათი
  • ისინი ადასტურებენ დომენის უფლებებს, მაგრამ არ ადასტურებენ კომპანიას
  • იურიდიული, ფიზიკური და ფიზიკური პირებისათვის
  • საბუთები არ არის საჭირო

საშუალო დონე

ასეთ სერტიფიკატებს უკვე შეუძლიათ დომენის მფლობელის კომპანიის დადასტურება, რაც უფრო მეტ ნდობას უქმნის საიტის ვიზიტორებს. ყოველივე ამის შემდეგ, კომპანიის დოკუმენტებს ამოწმებს სასერთიფიკატო ცენტრი, რამაც უნდა გააჩინოს მომხმარებლის მაქსიმალური ნდობა. ამ შემთხვევაში, ბრაუზერში საიტის მისამართი მონიშნულია მწვანეში.

  • საშუალო ღირებულება
  • მიწოდების დრო: ერთი კვირის განმავლობაში
  • გადაამოწმეთ კომპანია, რომელიც ფლობს დომენს
  • მხოლოდ იურიდიული პირებისთვის
  • საჭიროა თქვენი კომპანიის და მისი მისამართის დამადასტურებელი დოკუმენტები

მაღალი დონის

ამ სერთიფიკატებს აქვთ საშუალო დონის ყველა მაჩვენებელი, მაგრამ მათი ფასი უფრო ძვირია სერტიფიცირების ცენტრების მარკეტინგული თამაშის გამო. ასე რომ, მაგალითად, შეგიძლიათ გამოიყენოთ ისინი არა მხოლოდ მთავარ დომენზე, არამედ ქვედომენებზეც (მაგალითად, forum.mysite.com და ა.შ.), ან მოძველებული ბრაუზერის მქონე მომხმარებლები შეძლებენ უსაფრთხო კავშირის გამოყენებას. სერტიფიკატის რეგისტრაციის მაქსიმალური პერიოდი ასევე დამოკიდებულია სერტიფიკატის დონეზე. როგორც წესი, ეს არის 1-4 წელი გაცემის დღიდან.

რა ღირს SSL სერთიფიკატი?

ფასი წელიწადში 30-დან 1200 აშშ დოლარამდე მერყეობს. მაგრამ არის უფასო ვარიანტებიც, უფასო ვარიანტების სახით, თუმცა მათი გამოყენება მთლად მოსახერხებელი არ არის.

რა გჭირდებათ რომ მიიღოთ?

დაბალი დონის სერთიფიკატებისთვის

  • ელექტრონული ფოსტა (ის უნდა ეკუთვნოდეს თქვენს საიტს, მაგალითად, საიტისთვის mysite.com ელ.წერილი შეიძლება იყოს [ელფოსტა დაცულია]
  • სახელი ან ორგანიზაცია
  • მისამართი

უმაღლესი დონის სერთიფიკატებისთვის

ეს არის ადგილი, სადაც ორგანიზაცია მოწმდება, ამიტომ ზემოთ ჩამოთვლილზე მოგიწევთ დაამატოთ:

  • ტელეფონი
  • ორგანიზაციის დამადასტურებელი დოკუმენტები (კომპანიის სარეგისტრაციო ნომერი ან მსგავსი დოკუმენტები). ზოგადად, თითოეული ქვეყნის სია
  • დოკუმენტები განსხვავებულია, მაგრამ მოემზადეთ სერიოზული შემოწმებისთვის, იმ დონემდე, რომ ტელეფონის ნომრის დასადასტურებლად მოგიწევთ გაგზავნოთ ხელშეკრულების ასლი საკომუნიკაციო მომსახურების მიწოდებისთვის. დოკუმენტების სკანირებული ასლების გაგზავნა შესაძლებელია ფაქსით და ელექტრონული ფოსტით.

ასევე, SSL სერთიფიკატის მისაღებად დომენს უნდა ჰქონდეს WHOIS-Protect (დომენის მონაცემების დამალვა) გამორთული. დღეს ეს წესი არ ვრცელდება მხოლოდ domains.ru და.рф-ზე. და მაინც, CSR წარმოქმნა სავალდებულოა.

რა არის CSR?

CSR (Certificate Signing Request) არის დაშიფრული მოთხოვნა, რომელიც უნდა დაერთოს სერტიფიკაციის ორგანოში გაგზავნილ განაცხადს. ეს მოთხოვნა უნდა იყოს გენერირებული სერვერზე, რომელზეც მდებარეობს თქვენი საიტი. CSR-ის წარმოქმნის პროცესი დამოკიდებულია სერვერზე, უფრო სწორედ მასზე დაინსტალირებული პროგრამული უზრუნველყოფაზე. თუ თქვენ ყიდულობთ სერთიფიკატს ჰოსტინგის კომპანიის მეშვეობით, სადაც მდებარეობს თქვენი საიტი, მაშინ, სავარაუდოდ, მოგეცემათ მოსახერხებელი ინტერფეისი CSR-ის გენერირებისთვის. თუ ის იქ არ არის, მაშინ ჩვენ გეტყვით, თუ როგორ უნდა გააკეთოთ ეს ყველაზე გავრცელებული სერვერის პროგრამული უზრუნველყოფისთვის (Linux\Apache).

როგორ გენერირება CSR?

1. დაუკავშირდით სერვერს SSH კავშირის საშუალებით

ჩვენ ვიყენებთ PuTTY პროგრამას. ბრძანების ხაზში შეიყვანეთ:

openssl genrsa - out myprivate.key 2048

ამ გზით ჩვენ ვქმნით კერძო პირად გასაღებს CSR-სთვის. ამ შემთხვევაში დაისმება ორი შეკითხვა: „შეიყვანეთ პაროლის ფრაზა private.key-სთვის“ და „დამოწმება - შეიყვანეთ პაროლი myprivate.key-ისთვის“ - ეს არის გასაღების პაროლის ორჯერ შეყვანის მოთხოვნა. მნიშვნელოვანია, რომ გახსოვდეს, რადგან... საჭირო იქნება შემდეგ ეტაპზე. შედეგად, შეიქმნება myprivate.key ფაილი.

2. CSR-ის გენერირება

შეიყვანეთ ბრძანება:

openssl req -new -key myprivate.key -out domain-name.csr

უბრალოდ შეცვალეთ დომენი თქვენი დომენის სახელით. შემდეგ, კითხვის საპასუხოდ „შეიყვანეთ პაროლი myprivate.key-ისთვის“, შეიყვანეთ პაროლი, რომელიც წინა ეტაპზე დავაყენეთ.

ამის შემდეგ შეავსეთ მხოლოდ ინგლისური ასოები:

ქვეყნის სახელი - ქვეყნის კოდი ISO-3166 ფორმატში (გვჭირდება ორასოიანი კოდი, აიღეთ იგი Alpha-2 სვეტიდან);
სახელმწიფო ან პროვინციის სახელი: რეგიონი ან რეგიონი\შტატი;
რაიონის დასახელება: ქალაქი;
ორგანიზაციის დასახელება: ორგანიზაცია;
ორგანიზაციული ერთეულის დასახელება: დეპარტამენტი (არასავალდებულო);
საერთო სახელი: დომენის სახელი;
ელფოსტის მისამართი: თქვენი ელფოსტა (სურვილისამებრ ველი);
გამოწვევის პაროლი: (არ არის საჭირო შევსება);
არასავალდებულო კომპანიის სახელი: ორგანიზაციის სხვა სახელი (შევსება არ არის საჭირო).

შეყვანილი ყველა მონაცემი უნდა იყოს მართალი და ემთხვეოდეს მათ, რაც შეავსეთ დომენის რეგისტრაციისას (შეგიძლიათ შეამოწმოთ ისინი WHOIS სერვისების საშუალებით). ამ ოპერაციების შედეგად სერვერზე შეიქმნება domain-name.csr ფაილი. ის უნდა შეინახოს და შემდეგ დაერთოს განაცხადს SSL სერტიფიკატის მისაღებად, რომელიც წარედგინება სერტიფიკაციის ორგანოს.

რა უნდა გავაკეთოთ SSL სერთიფიკატის მიღების შემდეგ?

სერთიფიკატის მიღების შემდეგ, თქვენ უნდა დააინსტალიროთ იგი სერვერზე. ინსტალაციის პროცესი საკმაოდ მარტივია, მაგრამ მნიშვნელოვნად განსხვავდება სერვერის პროგრამული უზრუნველყოფის მიხედვით. ამიტომ, მოძებნეთ ინსტრუქციები ჰოსტინგის პროვაიდერის ვებსაიტზე, ან კიდევ უკეთესი, დაუკავშირდით ტექნიკურ მხარდაჭერას, რომ ყველაფერი სწორად დააყენოთ.

რა უნდა გააკეთოს, თუ შეიცვალა ორგანიზაციის მონაცემები ან შეიცვალა ჰოსტინგი?

ასეთ შემთხვევებში, თქვენ უნდა ხელახლა გამოსცეთ SSL სერთიფიკატი, მაგრამ ეს უნდა გაკეთდეს თქვენთვის უფასოდ.

როდესაც თავდამსხმელი ცდილობს თქვენს საიტზე წვდომას, ის შეიძლება გაყალბდეს მაშინაც კი, თუ მომხმარებელმა დომენის სახელი სწორად შეიყვანა.

SSL სერთიფიკატები გამორიცხავს ასეთი ჩანაცვლების შესაძლებლობას - სერთიფიკატის ნახვით, მომხმარებელს შეუძლია დარწმუნდეს, რომ დომენი მასპინძლობს ზუსტად იმ საიტს, რომელიც იქ უნდა იყოს და არა მისი დუბლიკატი.

გარდა ამისა, SSL სერთიფიკატი მომხმარებელს საშუალებას აძლევს შეამოწმოს ვინ არის საიტის მფლობელი. ეს ნიშნავს, რომ მომხმარებელს შეუძლია დარწმუნდეს, რომ ეწვია მისთვის საჭირო ორგანიზაციის ვებსაიტს და არა მისი დუბლის ვებსაიტს.

SSL სერთიფიკატების კიდევ ერთი მნიშვნელოვანი ფუნქციაა ინტერნეტ კავშირის დაშიფვრა. დაშიფრული კავშირი აუცილებელია ქსელში გადაცემისას კონფიდენციალური მონაცემების შესაძლო ქურდობის თავიდან ასაცილებლად.

ჩვენ გირჩევთ დააინსტალიროთ SSL სერთიფიკატები საიტის განყოფილებაში, სადაც მომხმარებლები შეაქვთ კონფიდენციალურ მონაცემებს, მაგალითად, ავტორიზაციისა და გადახდის გვერდებზე. ვებსაიტზე სერტიფიკატის არსებობა იცავს მას შესაძლო გაყალბებისგან, რადგან მომხმარებელს ყოველთვის შეუძლია დარწმუნდეს, რომ ვებსაიტი ნამდვილია და შეამოწმოს ვის ეკუთვნის.

უსაფრთხოების მიზეზების გამო, SSL სერთიფიკატი არ გადადის სხვა კონტრაქტზე.

თქვენ შეგიძლიათ შეამოწმოთ დომენის მფლობელობა სერტიფიკატის შეკვეთაში დომენისთვის მითითებული ელექტრონული ფოსტის მეშვეობით Whois სერვისში. ამისათვის თქვენ უნდა დაუკავშირდეთ დომენის რეგისტრატორს და დაარეგისტრიროთ მისთვის ნებისმიერი ელექტრონული ფოსტა Whois სერვისში. თუ დომენი რეგისტრირებულია RU-CENTER-ში, მაშინ ამისათვის შეიყვანეთ თქვენი ელ.წერილი თქვენს პირად ანგარიშში:

  1. აირჩიეთ სერვისები → ჩემი დომენები.
  2. დააწკაპუნეთ დომენის სახელზე, როგორც აქტიურ ბმულზე.
  3. რიგში აღწერა Whois-შიდააჭირეთ ბმულს შეცვლა.
  4. შეიყვანეთ თქვენი ელფოსტა და დააჭირეთ ღილაკს ცვლილებების შენახვა. ამის შემდეგ შეგვატყობინეთ განხორციელებული ქმედებების შესახებ.

თუ თქვენ შექმენით მოთხოვნა CSR სერთიფიკატის შესახებ თქვენს RU-CENTER პირად ანგარიშზე (არჩეულია „შექმენით CSR“ ვარიანტი), მაშინ პირადი გასაღები ავტომატურად შეინახება თქვენს კომპიუტერში ფაილის სახელით privatekey.txt. სცადეთ ძიება თქვენს კომპიუტერში. ფაილის შენახვის გარეშე, თქვენ ვერ შეძლებთ შემდეგ საფეხურზე გადასვლას თქვენი სერტიფიკატის შეკვეთის გაგზავნისას. თუ CSR სერთიფიკატის მოთხოვნა გენერირებულია თქვენს სერვერზე ან მესამე მხარის ჰოსტინგის პროვაიდერისგან, მაშინ პირადი გასაღები განთავსებულია სერვერზე ან პროვაიდერზე, შესაბამისად. თუ პირადი გასაღები დაიკარგა, ამის გაკეთება გჭირდებათ - ეს უფასოა.

  1. ეწვიეთ ვებგვერდს https://www.upik.de.
  2. აირჩიეთ ენა ინგლისური.
  3. დააწკაპუნეთ ბმულზე UPIR-ძებნა D-U-N-SR ნომრით.
  4. მინდორში D&B D-U-N-SR ნომერიშეიყვანეთ DUNS ნომერი.
  5. მინდორში აირჩიეთ ქვეყანააირჩიეთ თქვენი ქვეყანა.
  6. კომპანიის ბარათზე, რომელიც იხსნება, შეგიძლიათ შეამოწმოთ ველში ტელეფონის ნომრის არსებობა ტელეფონის ნომერი.

თუ ტელეფონის ნომერი არასწორად არის მითითებული ან აკლია, დაუკავშირდით DUN&BRADSTREET - Interfax-ის რუსეთის წარმომადგენლობას და შეიყვანეთ ან შეასწორეთ ტელეფონის ნომერი კომპანიის ბარათში. ცვლილებების შეტანის შემდეგ, ტელეფონის ნომერი თქვენს DUNS-ზე გამოჩნდება მხოლოდ 7-30 კალენდარული დღის შემდეგ.

სერტიფიკატით დაფარული დომენების სიის შესაცვლელად, თქვენ უნდა ხელახლა შექმნათ CSR და გაიაროთ სერტიფიკატის ხელახალი გაცემის პროცედურა:

1. განყოფილებაში კლიენტებისთვისSSL სერთიფიკატებიდა აირჩიეთ საჭირო სერთიფიკატი.

3. თუ გსურთ შექმნათ CSR შეკვეთის პროცესში - დააწკაპუნეთ განაგრძეთ.თუ იყენებთ თქვენს CSR-ს, შეიყვანეთ ის გამოჩენილ ველში. Microsoft IIS-ზე სერთიფიკატის დასაყენებლად CSR-ის შექმნა აღწერილია ცალკეულ ინსტრუქციებში - ისინი გაიხსნება ამ პარამეტრის არჩევისას.

4. შეიტანეთ ცვლილებები დომენების სიაში და დააწკაპუნეთ განაგრძეთ.

5. შეიყვანეთ თქვენი საკონტაქტო ინფორმაცია და დააწკაპუნეთ განაგრძეთ.

6. შეინახეთ პირადი გასაღები - ის დაგჭირდებათ სერთიფიკატის ვებ სერვერზე დასაყენებლად. დააწკაპუნეთ განაგრძეთ.

7. შეამოწმეთ სისწორე და დააწკაპუნეთ შეკვეთის გაგზავნა.

SSL სერთიფიკატები გაიცემა 1-2 წლის ვადით.

თუ ორგანიზაცია შეუკვეთავს სერტიფიკატს დომენისთვის, რომელიც მას არ ეკუთვნის, მაშინ მან უნდა მიაწოდოს დომენის მფლობელის წერილი სერტიფიკატის გაცემის ნებართვით. წერილის შაბლონი გაიგზავნება სერტიფიკაციის ცენტრის მიერ სერტიფიკატის მომხმარებლის საკონტაქტო ელექტრონული ფოსტის მისამართზე.

სერტიფიკატს შეუძლია დაადასტუროს დომენის მართვის უფლებების არსებობა, ანუ მას შეუძლია მხოლოდ დომენის დამოწმება. ასეთი სერთიფიკატები მიეკუთვნება კატეგორიას. DV სერთიფიკატის ნახვით, მომხმარებელს შეუძლია დარწმუნდეს, რომ ის ნამდვილად იმყოფება საიტზე, რომლის მისამართიც იყო შეყვანილი ბრაუზერის ხაზში, ანუ საიტზე შესვლისას მომხმარებელი არ იყო გადამისამართებული თავდამსხმელების მიერ ყალბ ვებ რესურსზე. ამასთან, სერტიფიკატი არ შეიცავს ინფორმაციას იმის შესახებ, თუ ვინ ფლობს საიტს - სერტიფიკატი არ შეიცავს ინფორმაციას მისი მფლობელის შესახებ. ეს გამოწვეულია იმით, რომ სერთიფიკატის მისაღებად მომხმარებელს არ სჭირდება მისი საიდენტიფიკაციო მონაცემების დოკუმენტური მტკიცებულების წარდგენა. აქედან გამომდინარე, ისინი შეიძლება იყოს ფიქტიური (მაგალითად, მოწმობის მომთხოვნი შეიძლება სხვა პირს ასახელებდეს).

სერტიფიკატს შეუძლია დაადასტუროს დომენის სახელის მართვის უფლებების არსებობა და ორგანიზაციის არსებობა, რომელსაც აქვს ეს უფლებები, ანუ მას შეუძლია დაადასტუროს დომენი და მისი მფლობელი. ასეთი სერთიფიკატები მიეკუთვნება კატეგორიას. OV სერთიფიკატის ნახვით, მომხმარებელს შეუძლია დაადასტუროს, რომ ის ნამდვილად იმყოფება საიტზე, რომლის მისამართიც არის შეყვანილი ბრაუზერის ხაზში და ასევე განსაზღვროს ვის ეკუთვნის ეს საიტი. ამ სერტიფიკატის გასაცემად მომხმარებელმა უნდა დააფიქსიროს თავისი საიდენტიფიკაციო მონაცემები.



რაიმე შეკითხვა?

შეატყობინეთ შეცდომას

ტექსტი, რომელიც გაეგზავნება ჩვენს რედაქტორებს:

გაგზავნა