3 сентября 2011 в 17:36

Получаем бесплатный SSL сертификат

• Системное администрирование

• Tutorial

Жмем Sing-up и переходим к регистрации, где заполняем небольшую форму. Все поля обязательны к заполнению, нужно вводить настоящие данные, могут проверить вашу личность и отозвать сертификат, заблокировать аккаунт. Адрес нужно указывать домашний, а не рабочий. Так же желательно чтобы при регистрации использовалась латиница - это поможет весьма сократить то время за которое подтвердят регистрацию аккаунта.

Нам предлагают ввести проверочный код, который был выслан на email. Вводим. Далее нам предлагают выбрать размер ключа для вашего сертификата (для авторизации на сайте) 2048 или 4096.

Сертификат сгенерирован, и мы должны подтвердить его установку в браузер.

Верификация домена

Перед получением сертификата нам нужно подтвердить право владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation

Вводим домен

Выбираем email, на который будет отослано письмо для подтверждения (postmaster, hostmaster, webmaster либо email из whois)

Получаем письмо и вводим код из него в поле. Все - домен подтвержден, можно приступать к генерации сертификата. В течении 30 дней мы можем генерировать сертификат. Далее нужно будет повторить процедуру верификации.

Генерация сертификата

Идем в раздел Certificates Wizard и там выбираем Web Server SSL/TSL Certificate

Далее у нас 2 варианта - либо нажать на Skip и ввести запрос на генерацию сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас нет, поэтому будем генерировать все в данном мастере.

Вводим пароль для ключа (мин. 10 символов - макс. 32) и размер ключа (2048\4096).

Получаем и сохраняем ключ.

Выбираем домен, для которого будем генерировать сертификат (домен должен быть уже подтвержден).

Нам дают право на включение в сертификат один поддомен - пусть будет стандартный www

Получили немного информации о сертификате, жмем на Continue.

Теперь ждем подтверждения сотрудником StartSSL сертификата. Обещают в течении 3-х часов, однако на практике все происходит намного быстрее, мне пришлось ждать 10 минут. Ранее заказывал ночью - примерно за такое же время подтверждали запрос.

Получение сертификата

Нам осталось только получить сертификат и установить его на сервере. Идем в Tool Box -> Retrieve Certificate, выбираем домен и копируем сертификат.

Про установку не буду писать, информация есть на и на StartSSL .

Проходим проверку (2-й уровень верификации)

Для снятия ограничений бесплатного сертификата нужно пройти идентификацию. Для этого в Validations Wizard выбираем Personal Identity Validation, проходим несколько шагов и нам предлагают загрузить документы


Для загрузки документов нужно только выбрать их в поле. Загрузить нужно не менее 2-х документов, подтверждающих вашу личность (главный разворот паспорта, водительские права, удостоверение личности, карточку социального обеспечения, свидетельство о рождении и т.д., я загружал главный разворот паспорта и студенческого билета). Могут запросить дополнительные документы - у меня запросили счет за телефон, в котором указан мой адрес, номере телефона и имя, в качестве альтернативы можно получить аналоговой почтой письмо для верификации адреса.

Все, на этом подготовка к верификации окончена. Вам должно будет прийти письмо от поддержки с дальнейшими инструкциями. По окончании верификации вы сможете выпускать WildCart сертификаты в течении 350 дней. Далее нужно будет проходить проверку заново.

Несколько фактов о StartSSL

• 25 мая 2011 StartSSL был подвергнут атаке сетевых взломщиков (в простонародии хакеров), однако получить фиктивные сертификаты им не удалось. Закрытый ключ, лежащий в основе всех операций, хранится на отдельном компьютере, не подключенном к интернету.
• StartSSL поставляет помимо SSL сертификатов для Web, сертификаты для шифрования почты (S/MIME), для шифрования серверов XMPP (Jabber), сертификаты для подписи ПО Object code signing certificates).
• StartSSL проверяет верность установки сертификатов. После установки сертификата (через некоторое время) я получил уведомление о отсутствии промежуточного сертификата, и ссылка на информацию по установки.
  После установки промежуточного сертификата пришло соответствующее письмо.
• StartSSL поддерживается множеством ПО: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
• Дружелюбная поддержка на русском языке
• Сравнительная таблица вариантов верификации
• startssl

Добавить метки

Для чего необходим SSL-сертификат

HTTP-протокол, по которому в настоящий момент передается большинство html-страниц в сети Интернет, не может защитить данные, передаваемые между сервером и браузером посетителя. К таким данным можно отнести любую передаваемую информацию: пароли, номера телефонов, e-mail и т.д.

Обеспечить защиту передаваемых данных помогает установка SSL-сертификата . В этом случае соединение, устанавливаемое между браузером и сайтом, происходит по протоколу HTTPS. Данные, которые передаются по протоколу HTTPS, кодируются криптографическим протоколом, тем самым обеспечивается их защита.

Установка SSL-сертификат на ваш сайт позволяет:

Для интернет-магазина наличие SSL-сертификата позволит использовать такие сервисы как: Google Merchant и некоторые платежные шлюзы, например, Яндекс.Кассу.

Наличие SSL-сертификата является одним из факторов поискового ранжирования для ПС Google и Яндекс . Сервис Яндекс Вебмастер также выводит уведомление с рекомендацией использовать SSL-сертификат:

Более подробная информация о необходимости использования SSL-сертификата есть в .

2 способа подключения SSL-сертификата для домена интернет-магазина на InSales

Заказать SSL-сертификат через бэк-офис сайта

Для заказа SSL-сертификата через бэк-офис интернет-магазина на InSales перейдите в раздел Настройки -> Домены -> Нажмите на имя домена , к котрому нужно подключить SSL-сертификат.

В настройках домена нужно выбрать на каких страницах сайта использовать HTTPS:

1. Только при оформлении заказа - это самый безопасный вариант в случае, если сайт уже проиндексирован поисковыми системами. При использовании HTTPS только для страницы оформления заказа шифруются страницы корзины и оформления заказа. На индексацию сайта это никак не повлияет.

2. Для всего сайта - в этом случае будет выполняться шифрование всех страниц сайта. Актуально использовать для новых сайтов, которые еще не проиндексированы поисковыми системами. В случае если сайт уже проиндексирован в инструменах поисковых систем для веб-мастеров нужно будет внести соответствующие настройки, чтобы страницы сайта не выпадали из индекса.

После нажатия на кнопку "Сохранить" будет выполнено перенаправление на страницу "Ваши домены" , где у домена, к которому подключается SSL-сертификат будет статус "Ожидает оплаты" , а в разделе "Аккаунт" будет выставлен счет на получение SSL-сертификата.

Для оплаты получения SSL-сертификата перейдите в раздел "Аккаунт" -> "Счета" и оплатите счет любым удобным способом.

После оплаты счета SSL-сертификат будет автоматически подключен для вашего домена в течение 4-х часов (для всех старых url-адресов будут сформированы 301-ые редиректы на соотв. страницы с https в соответствии с требованиями поисковых систем).

После этого переход сайта на HTTPS завершится. Вам необходимо будет лишь добавить версию сайта на https в Яндекс Вебмастер и указать её в качестве главного зеркала в разделе Индексирование - Переезд сайта:

В течение нескольких дней после отправки заявки придет уведомление о смене главного зеркала. Также Вы можете добавить версию сайта на https в Google Search Console. При этом никаких дополнительных настроек для Google выполнять не нужно.

Дополнительно: если Вы вносили изменения в файл robots.txt стоит заменить директивы, содержащие адрес домена с http на https.

Загрузить свой SSL-сертификат

К домену, привязанному к сайту на InSales, также можно подключить сторонний SSL-сертификат.

Мы поддерживаем все типы SSL-сертификатов от любых поставщиков.

Для подключения стороннего SSL-сертификата необходимо запросить у поставщика Приватный ключ и всю Цепочку сертификатов .

Предоставленные поставщиком сертификата данные необходимо выслать нам в с просьбой подключить сертификат для вашего домена. В запросе укажите домен и способ подключения SSL-сертификата: для всего сайта или только для страницы оформления заказа и корзины .

Клиенты FirstVDS с панелью ISPmanager на виртуальном сервере могут устанавливать бесплатные сертификаты Let"s Encrypt для любого количества сайтов. Let"s Encrypt представляет собой обычный SSL -сертификат с проверкой домена (DV), который выдается на неограниченный срок.

Как установить сертификат?

1. Зайдите в панель ISPmanager с правами супер-пользователя (root).

2. Перейдите в раздел Интеграция → Модули, установите бесплатный плагин Let’s Encrypt

3. Перейдите в Настройки web-сервера → SSL-сертификаты, выберите Let’s Encrypt

4. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт - иначе сертификат не будет выдан. Заполните остальную форму.

5. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата - тип должен смениться на «Существующий ».

6. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt - в адресной строке должен быть зеленый замок. Сертификат действует бессрочно.

Для чего подходит?

Сертификаты Let"s Encrypt подходят для защиты веб-сайтов . Сертификат не получится использовать для подписи кода и шифрования email.

Какие типы проверки выполняются?

Только проверка домена (DV , domain validation). Поддержка проверок OV и EV отсутствует и не планируется.

Как быстро выпускается?

Сертификат Let"s Encrypt выпускается и начинает работать в течение нескольких минут . Главное условие - домен, к которому привязывается сертификат, должен быть делегирован. Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter . Если вы увидите свой сайт, то всё в порядке - можно приступать к получению сертификата.

Сколько действует сертификат?

Вечно , при наличии на сервере панели управления ISPmanager . При отсутствии панели сертификат продляться не будет ! Почему так? Сертификаты Let"s Encrypt выпускаются на 3 месяца. Плагин ISPmanager обновляет сертификат автоматически за 7 дней до окончания очередного срока. Если удалить панель, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами - появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении. В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО.

Будет ли сертификат определяться браузерами как доверенный?

Да, будет . Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.

Можно ли использовать в коммерческих целях?

Да, можно . Именно для таких целей сертификат и создавался.

Поддерживаются ли национальные домены (IDN)?

Сертификаты Let"s Encrypt поддерживают IDN - доменные имена с использованием символов национальных алфавитов. Вы можете использовать сертификат для кириллических доменов вида мойсайт.рф.

Поддерживаются ли поддомены (wildcard)?

Сертификаты Let"s Encrypt поддерживают wildcard . Проверяются такие сертификаты только через DNS-записи.

Поддерживается ли мультидомен (SAN)?

Нет . Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности. Каждый домен придется настраивать отдельно.

Как настроить автоматический редирект на HTTPS?

Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://... , либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTP → HTTPS .

Редирект на связке Apache+Nginx

1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Изменить.

2. В настройках установите галочку Перенаправлять HTTP-запросы в HTTPS и примените изменения.

3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS .

Редирект на чистом Apache

Внимание! Все изменения в конфигурационном файле Apache вы делаете на свой страх и риск ! Настройки, описанные ниже, сработают для большинства случаев, но могут вызвать проблемы на специфических конфигурациях. Доверьтесь специалистам, если не уверены в результате вносимых изменений.

1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Конфиг.

Достаточно часто к нам поступают запросы о том, как получить SSL сертификат для локального домена (.local) или для IP адреса. Если раньше отдельные типы SSL сертификатов можно было получить для IP адреса или внутреннего домена, то теперь это, к сожалению, уже невозможно. Заказ внутренних сертификатов, как Comodo IntranetSSL более невозможен, а мультидоменные сертификаты с поддержкой локальных доменов.local будут действительны только до 31-го октября 2015 года. Что касается ранее выпущенных SSL сертификатов для внутренних доменов и IP адресов, то 1 октября 2016 года они будут отозваны или заблокированы браузерами.

Почему отменили SSL сертификаты для IP и локальных доменов?

Решение о прекращении выпуска SSL сертификатов для доменов типа.local и для IP адресов было принято на Форуме центров сертификации и браузеров (CA/B Forum).

Самая главная цель центров сертификации при выдаче SSL сертификатов — обеспечить надежность и доверие путем привязывания данных криптографического публичного ключа к проверенной личности или компании. SSL сертификаты идентифицируют компьютеры в качестве серверов, предлагающих один или несколько протоколов (обычно HTTP для веб траффика, но также и SMTP, POP, IMAP, FTP, XMPP, RDP и другие) через SSL/TLS.

Сервер может быть доступен по ряду имен или адресов. Сервер, подключенный к сети Интернет, как правило, имеет собственное имя в системе доменных имен DNS (от Domain Name System), что позволяет любой другой системе в Интернете преобразовать это имя в IP адрес и получить доступ к серверу. Для примера возьмем сервер с доменным именем «server1234.сайт». Эта система имеет маршрутизируемый IP адрес в сети Интернет — IPv4 или IPv6, или же оба.

Тем не менее серверы могут иметь дополнительные имена и адреса, которые действуют только в контексте локальной сети, а не во всем Интернете. Таким образом, тот же сервер из примера выше может быть доступен другим компьютерам в локальной сети по именам «mail» или «mail.local».

Локальное имя домена может преобразовываться в маршрутизируемый IP адрес в сети Интернет или в Ip адрес, доступный только по локальной сети. Пространство IP адресов «192.168.*.*», которые используют многие домашние интернет-шлюзы, возможно, является наиболее известной серией личных сетевых адресов. Но также существует множество пространств IP адресов IPv4 и IPv6, зарезервированных для частного или другого использования.

Ключевым различием между этими двумя типами доменных имен и IP адресов является их уникальность. Полностью определённое имя домена (FQDN), как, например, «www.сайт» представляет собой уникальную и легко отличимую от других единицу в Интернете (даже если несколько серверов ответят на это доменное имя, управлять им может только одно лицо). В то же время, на неопределенное имя домена «mail» могут отвечать тысячи систем в публичных и приватных (локальных) сетях. В сети Интернет только один узел связи имеет IP адрес “5.63.155.56”, в то время как десятки тысяч домашних интернет-шлюзов имеют адрес “192.168.0.1”.

SSL сертификаты от доверенных центров сертификации выдаются с той целью, чтобы обеспечить безопасность и доверие для доменных имен по всей сети Интернет. Неуникальные доменные имена по самой своей природе не могут быть идентифицированы вне своего локального контекста, поэтому SSL сертификаты, выданные для локальных доменов, являются потенциально опасными, так как могут быть использованы в мошеннических целях.

Именно по этой причине центры сертификации отказываются от выпуска SSL сертификатов для неуникальных доменов и IP адресов, как “mail”, “mail.local” или “192.168.0.1”.

Почему опасно использовать SSL сертификаты для локальных доменов и IP адресов?

Для примера возьмем компанию, которая развернула систему электронной почты по адресу “https://mail/”. Система недоступна через всемирную сеть Интернет, а только по локальной корпоративной сети или через VPN. Является ли она безопасной?

Не обязательно, если имеется SSL сертификат для доменного имени “mail” от доверенного центра сертификации. Имя домена “mail” — неуникально, поэтому практически кто угодно может может получить SSL сертификат для “https://mail/”. Если злоумышленник использует такой сертификат в корпоративной локальной сети вместе со спуфингом локального имени, он сможет без проблем подменить настоящий сервер корпоративной электронной почты и заполучить данные пользователя для входа в систему и другую конфиденциальную информацию. При этом мошеннику даже не обязательно находиться в корпоративной сети, чтобы успешно провести атаку. Если пользователь подключит свой корпоративный ноутбук к публичной сети WiFi, почтовый клиент может автоматически попытаться подключиться к “https://mail/” прежде, чем будет установлено соединение через VPN. В этот момент злоумышленник может произвести подмену и украсть данные пользователя.

Здесь следует заметить, что не имеет значения, использовался ли SSL сертификат от известного доверенного центра сертификации (как Comdo, Thawte, Symantec и другие), или же самоподписанный SSL сертификат от частного корпоративного центра сертификации. Если между SSL сертификатом, используемым мошенником, будет установлена цепочка с центром сертификации в хранилище браузера или операционной системы, сертификат будет принят всеми клиентами, создавая уязвимость даже на стороне пользователей частной инфраструктуры приватных ключей (PKI).

Из-за того, что невозможно провести полноценную проверку локальных доменов и IP адресов, а также из-за высокой возможности использования таких SSL сертификатов в мошеннических целях, Форум ЦС и Браузеров принял решении о прекращении их выдачи.

Какие есть альтернативы?

1. Использовать полностью определенные доменные имена (FQDN) и поиск DNS суффикса домена.

Многие сайты, доступные по локальному имени домена, могут также быть доступными и правильно определяться по FQDN, так как программное обеспечение DNS-клиента использует процесс называемый поиском суффикса, при котором настроенные суффиксы добавляются к локальному имени и в результате имеется полностью определенный домен FQDN. Как правило, это происходит автоматически для доменов, частью которых является система. Например, система с именем “client.example.com” использует “example.com” в качестве суффикса для поиска. Пытаясь установить связь с именем ”server”, эта система будет автоматически пробовать найти “server.example.com” через DNS поиск. Поиск DNS суффикса домена можно настроить самостоятельно.

Если Вы используете домен.local для внутренней сети, этот способ Вам не подойдет, рекомендуем рассмотреть следующий.

При попытке доступа к вашему сайту он может быть подменен злоумышленниками даже в том случае, если пользователь правильно ввел его доменное имя.

SSL-сертификаты исключают возможность подобной подмены - просмотрев сертификат, пользователь может убедиться, что на домене размещен именно тот сайт, который там должен быть, а не его дубликат.

Кроме того, SSL-сертификат позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника.

Еще одна важная функция SSL-сертификатов - шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в сети.

SSL-сертификаты рекомендуем устанавливать в разделе сайта, где пользователи вводят конфиденциальные данные, например, на страницах авторизации и оплаты услуг. Наличие на сайте сертификата защищает его от возможных подделок, так как пользователь всегда может убедиться, что сайт подлинный, и проверить, кому он принадлежит.

В целях безопасности SSL-сертификат не переносится на другой договор.

Проверить принадлежность домена в заказе на сертификат можно через электронную почту, указанную для домена в Whois сервисе. Для этого вам нужно обратиться к регистратору домена и прописать в Whois сервисе для него любую электронную почту. Если домен зарегистрирован в RU-CENTER, то для этого укажите почту в личном кабинете:

1. В выберите Услуги → Мои домены .
2. Нажмите на доменное имя как на активную ссылку.
3. В строке Описание в Whois нажмите ссылку Изменить .
4. Укажите электронную почту и нажмите кнопку Сохранить изменения . После этого уведомьте нас о проделанных действиях по адресу .

Если запрос на сертификат CSR вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить - это бесплатно.

1. Зайдите на сайт https://www.upik.de .
2. Выберите язык English .
3. Нажмите ссылку UPIKR-Search with D-U-N-SR number .
4. В поле D&B D-U-N-SR Number введите номер DUNS.
5. В поле Select country выберите страну.
6. На открывшейся карточке компании вы можете проверить наличие номера телефона в поле Telephone number .

Если номер телефона указан некорректно или отсутствует, обратитесь в российское представительство DUN&BRADSTREET - компанию Интерфакс , и внесите или откорректируйте номер телефона в карточке компании. После внесения изменений номер телефона по вашему DUNS будет отображаться только через 7-30 календарных дней.

Чтобы изменить список доменов, на которые распространяется сертификат, необходимо заново создать CSR и пройти процедуру перевыпуска сертификата:

1. В разделе Для клиентов → SSL-сертификаты и выберите нужный сертификат.

3. Если вы хотите создать CSR в процессе заказа - нажмите Продолжить .Если вы будете использовать свой CSR - введите его в появившемся поле. Создание CSR для установки сертификата на Microsoft IIS описано в отдельных инструкциях - они откроются при выборе этого варианта.

4. Внесите изменения в список доменов и нажмите Продолжить .

5. Укажите контактные данные и нажмите Продолжить .

6. Сохраните приватный ключ - он понадобится для установки сертификата на веб-сервер. Нажмите Продолжить .

7. Проверьте корректность и нажмите Отправить заказ .

SSL-сертификаты выпускаются на срок 1-2 года.

Если организация заказывает сертификат на домен, который ей не принадлежит, то для этого необходимо предоставить письмо от владельца домена с разрешением на выпуск сертификата. Шаблон письма будет направлен удостоверяющим центром на контактный адрес электронной почты заказчика сертификата.

Сертификат может подтверждать наличие прав управления доменом, то есть удостоверять только домен. Такие сертификаты относятся к категории . Просмотрев сертификат DV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, то есть что при доступе к сайту пользователь не был перенаправлен злоумышленниками на подложный веб-ресурс. Однако сертификат не содержит информации о том, кому принадлежит сайт - в сертификате не будут указаны сведения о его владельце. Это обусловлено тем, что для получения сертификата его заказчику не требуется предоставлять документальное подтверждение своих идентификационных данных. Следовательно, они могут быть вымышленными (например, заказчик сертификата может выдать себя за другое лицо).

Сертификат может подтверждать наличие прав управления доменным именем и существование организации, у которой есть эти права, то есть удостоверять домен и его владельца. Такие сертификаты относятся к категории . Просмотрев сертификат OV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, а также определить, кому принадлежит этот сайт. Для выпуска данного сертификата его заказчик должен документально подтвердить свои идентификационные данные.