Отказ от SSL сертификатов для локальных доменов и IP адресов. Что делать если изменились данные организации или поменялся хостинг? Что будет с сертификатом, если я удалю услугу хостинга

Распечатать

Как получить бесплатный ssl сертификат для русского домена с помощью CloudFlare? + Бонусы CDN.

(60 оценок, среднее: 5,00 из 5)

Воспользовавшись бесплатным сервисом CDN CloudFlare вы получите как минимум два преимущества:

1. бесплатный SSL сертификат от проверенного сертификационного сервиса, которому доверяют Mozilla Firefox, Google Chrome и другие;
2. бесплатную сеть доставки контента вашего сайта (CDN — Content Delivery Network ), что даст прирост к скорости загрузки его страниц.

Читайте в статье подробную инструкцию получения SSL сертификата для кириллического домена . Помимо этого поясню влияние проблемных сертификатов (красный замок) на конверсию сайта, блога или интернет-магазина.

Предупреждение в Google Chrome у сайта по протоколу https.

В связи с недавним выходом новой версии Chrome 57 (начиная с Chrome 56) — сайты у которых сертификаты WoSign или StartSSL — стали частично недоступны.

Больше нет зелёного замка в адресной строке браузера.

Халява кончилась? На самом деле нет — ответ найдете в статье.

Почему холява кончилась? WoSign и StartSSL.

Ранее сообщалось (осень 2016 года) о том, что эти сертификационные центры не выполняют требования по безопасности .

Firefox, Chrome и другие теперь не покажут зелёный замочек в адресной строке. Больше скажу, теперь сложнее получить доступ к ресурсам с этими сертификатами.

Гугл хром, например, предупреждает о плохом сертификате, и показывает это пользователю при открытии любой страницы домена.

Злоумышленники могу попытаться похитить ваши данные с сайта.

Но делает это так, что человек, открывший сайт, может испугаться. Не понимая истинной причины такого сообщения — человек уйдет с «опасного» сайта.

Выглядит это примерно так:

Google Chrome: Ваше подключение не защищено (NET::ERR_CERT_AUTHORITY_INVALID)

И чтобы получить доступ к такому сайту, еще нужно исхитриться и нажать «Дополнительные» (видимо трудности перевода) и найти там «пройти на сайт xxx».

Google Chrome: Сервер не может подтвердить связь с доменом — перейти на сайт (небезопасно)

А после подтверждения перехода на сайта в адресной строке все красное:

К такому сайту резко падает доверие пользователей и они сразу его покидают. Хотя сомневаюсь, что они его не закроют на предыдущем этапе.

Ps. Вообще, это касается сайтов, не входящих в первых миллион по версии Alexa , но проверить этого не могу.

Вопрос: как сделать зеленый замок в адресной строке браузера?

Google Chrome и зеленый замок в адресной строке — надежный сайт.

Ответ: нужен валидный сертификат SSL от сертификационного центра (Symantec, Comodo, GlobalSign, и др.), которому доверяют крупные производители браузеров.

• Купить сертификат с поддержкой IDN (интернационализованные доменные имена: .рф, .москва — в общем нелатинские домены). Не все сертификаты имеют IDN и обычно стоят дороже.
• Бесплатно воспользоваться услугами CloudFlare — то есть схитрить.

С помощью чего сделать зеленый замок в адресной строке для кириллического домена бесплатно?

Для того, чтобы у нашего сайта был хороший SSL- сертификат, которому доверяют Google Chrome, Mozilla Firefox, Opera и другие — мы воспользуемся услугами CDN сервиса CloudFlare.

Этому сервису доверяют такие крупные компании как Zendesk, Eurovision, DigitalOcean и другие. Со всем списком можно ознакомиться по ссылке: cloudflare.com/case-studies/ .

Краткая инструкция. 4 шага.

Инструкция по включению SSL-сертификата в Cloudflare:

1. Зарегистрироваться в сервисе;
2. Выбрать домен и следовать инструкциям помощника;
3. Изменить DNS сервера у домена, в панели управления доменом — там где регистрировали домен;
4. Включить нужный режим SSL в панели Cloudflare. Готово!

А теперь подробнее рассмотрим каждый шаг. С некоторыми вы и без этой статьи справитесь, но на некоторых шагах у вас могут возникнуть проблемы в первый раз.

Подробная инструкция со скриншотами по настройке Cloudflare и подключение бесплатного SSL сертификата к вашему домену.

Регистрация в Cloudflare.

Всё начинается с регистрации в сервисе Cloudflare.

Добавили свой сайт в панель cloudflare и на последнем шаге нас просят изменить DNS сервера на те, что предложены сервисом. В моем случае это duke.ns.cloudflare.com и olga.ns.cloudflare.com . Идём в панель управления хостинга или регистратора и меняем текущие сервера имён на новые.

Учтите, что эта процедура может занять время. Зона днс может распространяться от шести до 48 часов . Ну в последнее время это гораздо быстрее происходит.

Проверка NS серверов у домена с помощью Google Dig.

Важно, чтобы у сайта появился новый ip. Это и будет индикатором смены DNS.

Периодически можно проверять через утилиту Dig от гугл. Находится по адресу //toolbox.googleapps.com/apps/dig/ . Помимо серверов днс, там можно проверить почтовый сервер и другие параметры.

Всё . Теперь когда зона DNS распространилась, клаудфлер это видит и меняет статус сайта на Activ.

Получение бесплатного SSL сертификата в 2017 году от CloudFlare.

Теперь о самом главном — включение https протокола для сайта.

Режим SSL CloudFlare: Full — по умолчанию.

Режим SSL Cloudflare — Full

По умолчанию, после добавления сайта, SSL-сертификат к домену подключается с режимом Full.

Если у вашего сайта уже есть доступ по HTTPS — то можно ничего не делать. SSL-сертификат сайта будет валидным для браузеров.

Но если у вас не было прежде SSL-сертификата или вы не хотите с ним заморачиваться то читайте дальше.

Включение режима Flexible в CloudFlare.

Переходим во вкладку Crypto и включаем Flexible на странице cloudflare.com/a/crypto/ ваш_домен. Всего доступно 4 режима cloudflare, но о них в другой раз.

Клаудфлэр нас предупреждает, что на создание SSL-сертификата может потребоваться время равное одним суткам. И некоторое время мы будем видеть ошибку ERR_SSL_PROTOCOL_ERROR .

И вот, теперь когда у нас сайт доступен по протоколу Https можно смело себя поздравить — вы справились!

ps. Если у вас открывается сайт, но показывает «mixed content» в Security Overview консоли разработчика Google Chrome то нужно добавить правило в CloudFlare.

Mixed content на сайте по HTTPS. CloudFlare Page Rules.

Чтобы на сайте не было смешанного контента нужно перейти на вкладку Page Rules и настроить правило. Нажимаем Create Page Rule и пишем следующее:

//*ваш_домен/*

И добавляем настройку (Then the settings are: -> Add a Setting) Always Use HTTPS.

Создаем правило всегда использовать HTTPS — CloudFlare

Нажимаем Save and Deploy — и проблема будет решена.

Невозможно получить SSL сертификат для кириллического домена (.рф, .рус) в панели управления VESTA

Кстати, да. Невозможно получить SSL сертификат для доменов.рф, .рус.
Панель управления Vesta (которая бесплатна) на данный момент имеет проблемы с кириллическими доменами (IDN домены, национальные) и автоматическим получением SSL сертификатов от Let’s Encrypt для них.
В связи с этим проблемно бесплатно получить SSL сертификат в VestaCP от Let’s Encrypt.

Этот баг известен и сейчас пока находится на этапе обсуждения. В перспективе, решение будет в ближайшем обновлении. Ну а пока придется использовать CloudFlare и их Flexible&Full режимы .

При попытке доступа к вашему сайту он может быть подменен злоумышленниками даже в том случае, если пользователь правильно ввел его доменное имя.

SSL-сертификаты исключают возможность подобной подмены - просмотрев сертификат, пользователь может убедиться, что на домене размещен именно тот сайт, который там должен быть, а не его дубликат.

Кроме того, SSL-сертификат позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника.

Еще одна важная функция SSL-сертификатов - шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в сети.

SSL-сертификаты рекомендуем устанавливать в разделе сайта, где пользователи вводят конфиденциальные данные, например, на страницах авторизации и оплаты услуг. Наличие на сайте сертификата защищает его от возможных подделок, так как пользователь всегда может убедиться, что сайт подлинный, и проверить, кому он принадлежит.

В целях безопасности SSL-сертификат не переносится на другой договор.

Проверить принадлежность домена в заказе на сертификат можно через электронную почту, указанную для домена в Whois сервисе. Для этого вам нужно обратиться к регистратору домена и прописать в Whois сервисе для него любую электронную почту. Если домен зарегистрирован в RU-CENTER, то для этого укажите почту в личном кабинете:

1. В выберите Услуги → Мои домены .
2. Нажмите на доменное имя как на активную ссылку.
3. В строке Описание в Whois нажмите ссылку Изменить .
4. Укажите электронную почту и нажмите кнопку Сохранить изменения . После этого уведомьте нас о проделанных действиях по адресу .

Если запрос на сертификат CSR вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить - это бесплатно.

1. Зайдите на сайт https://www.upik.de .
2. Выберите язык English .
3. Нажмите ссылку UPIKR-Search with D-U-N-SR number .
4. В поле D&B D-U-N-SR Number введите номер DUNS.
5. В поле Select country выберите страну.
6. На открывшейся карточке компании вы можете проверить наличие номера телефона в поле Telephone number .

Если номер телефона указан некорректно или отсутствует, обратитесь в российское представительство DUN&BRADSTREET - компанию Интерфакс , и внесите или откорректируйте номер телефона в карточке компании. После внесения изменений номер телефона по вашему DUNS будет отображаться только через 7-30 календарных дней.

Чтобы изменить список доменов, на которые распространяется сертификат, необходимо заново создать CSR и пройти процедуру перевыпуска сертификата:

1. В разделе Для клиентов → SSL-сертификаты и выберите нужный сертификат.

3. Если вы хотите создать CSR в процессе заказа - нажмите Продолжить .Если вы будете использовать свой CSR - введите его в появившемся поле. Создание CSR для установки сертификата на Microsoft IIS описано в отдельных инструкциях - они откроются при выборе этого варианта.

4. Внесите изменения в список доменов и нажмите Продолжить .

5. Укажите контактные данные и нажмите Продолжить .

6. Сохраните приватный ключ - он понадобится для установки сертификата на веб-сервер. Нажмите Продолжить .

7. Проверьте корректность и нажмите Отправить заказ .

SSL-сертификаты выпускаются на срок 1-2 года.

Если организация заказывает сертификат на домен, который ей не принадлежит, то для этого необходимо предоставить письмо от владельца домена с разрешением на выпуск сертификата. Шаблон письма будет направлен удостоверяющим центром на контактный адрес электронной почты заказчика сертификата.

Сертификат может подтверждать наличие прав управления доменом, то есть удостоверять только домен. Такие сертификаты относятся к категории . Просмотрев сертификат DV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, то есть что при доступе к сайту пользователь не был перенаправлен злоумышленниками на подложный веб-ресурс. Однако сертификат не содержит информации о том, кому принадлежит сайт - в сертификате не будут указаны сведения о его владельце. Это обусловлено тем, что для получения сертификата его заказчику не требуется предоставлять документальное подтверждение своих идентификационных данных. Следовательно, они могут быть вымышленными (например, заказчик сертификата может выдать себя за другое лицо).

Сертификат может подтверждать наличие прав управления доменным именем и существование организации, у которой есть эти права, то есть удостоверять домен и его владельца. Такие сертификаты относятся к категории . Просмотрев сертификат OV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, а также определить, кому принадлежит этот сайт. Для выпуска данного сертификата его заказчик должен документально подтвердить свои идентификационные данные.

Достаточно часто к нам поступают запросы о том, как получить SSL сертификат для локального домена (.local) или для IP адреса. Если раньше отдельные типы SSL сертификатов можно было получить для IP адреса или внутреннего домена, то теперь это, к сожалению, уже невозможно. Заказ внутренних сертификатов, как Comodo IntranetSSL более невозможен, а мультидоменные сертификаты с поддержкой локальных доменов.local будут действительны только до 31-го октября 2015 года. Что касается ранее выпущенных SSL сертификатов для внутренних доменов и IP адресов, то 1 октября 2016 года они будут отозваны или заблокированы браузерами.

Почему отменили SSL сертификаты для IP и локальных доменов?

Решение о прекращении выпуска SSL сертификатов для доменов типа.local и для IP адресов было принято на Форуме центров сертификации и браузеров (CA/B Forum).

Самая главная цель центров сертификации при выдаче SSL сертификатов — обеспечить надежность и доверие путем привязывания данных криптографического публичного ключа к проверенной личности или компании. SSL сертификаты идентифицируют компьютеры в качестве серверов, предлагающих один или несколько протоколов (обычно HTTP для веб траффика, но также и SMTP, POP, IMAP, FTP, XMPP, RDP и другие) через SSL/TLS.

Сервер может быть доступен по ряду имен или адресов. Сервер, подключенный к сети Интернет, как правило, имеет собственное имя в системе доменных имен DNS (от Domain Name System), что позволяет любой другой системе в Интернете преобразовать это имя в IP адрес и получить доступ к серверу. Для примера возьмем сервер с доменным именем «server1234.сайт». Эта система имеет маршрутизируемый IP адрес в сети Интернет — IPv4 или IPv6, или же оба.

Тем не менее серверы могут иметь дополнительные имена и адреса, которые действуют только в контексте локальной сети, а не во всем Интернете. Таким образом, тот же сервер из примера выше может быть доступен другим компьютерам в локальной сети по именам «mail» или «mail.local».

Локальное имя домена может преобразовываться в маршрутизируемый IP адрес в сети Интернет или в Ip адрес, доступный только по локальной сети. Пространство IP адресов «192.168.*.*», которые используют многие домашние интернет-шлюзы, возможно, является наиболее известной серией личных сетевых адресов. Но также существует множество пространств IP адресов IPv4 и IPv6, зарезервированных для частного или другого использования.

Ключевым различием между этими двумя типами доменных имен и IP адресов является их уникальность. Полностью определённое имя домена (FQDN), как, например, «www.сайт» представляет собой уникальную и легко отличимую от других единицу в Интернете (даже если несколько серверов ответят на это доменное имя, управлять им может только одно лицо). В то же время, на неопределенное имя домена «mail» могут отвечать тысячи систем в публичных и приватных (локальных) сетях. В сети Интернет только один узел связи имеет IP адрес “5.63.155.56”, в то время как десятки тысяч домашних интернет-шлюзов имеют адрес “192.168.0.1”.

SSL сертификаты от доверенных центров сертификации выдаются с той целью, чтобы обеспечить безопасность и доверие для доменных имен по всей сети Интернет. Неуникальные доменные имена по самой своей природе не могут быть идентифицированы вне своего локального контекста, поэтому SSL сертификаты, выданные для локальных доменов, являются потенциально опасными, так как могут быть использованы в мошеннических целях.

Именно по этой причине центры сертификации отказываются от выпуска SSL сертификатов для неуникальных доменов и IP адресов, как “mail”, “mail.local” или “192.168.0.1”.

Почему опасно использовать SSL сертификаты для локальных доменов и IP адресов?

Для примера возьмем компанию, которая развернула систему электронной почты по адресу “https://mail/”. Система недоступна через всемирную сеть Интернет, а только по локальной корпоративной сети или через VPN. Является ли она безопасной?

Не обязательно, если имеется SSL сертификат для доменного имени “mail” от доверенного центра сертификации. Имя домена “mail” — неуникально, поэтому практически кто угодно может может получить SSL сертификат для “https://mail/”. Если злоумышленник использует такой сертификат в корпоративной локальной сети вместе со спуфингом локального имени, он сможет без проблем подменить настоящий сервер корпоративной электронной почты и заполучить данные пользователя для входа в систему и другую конфиденциальную информацию. При этом мошеннику даже не обязательно находиться в корпоративной сети, чтобы успешно провести атаку. Если пользователь подключит свой корпоративный ноутбук к публичной сети WiFi, почтовый клиент может автоматически попытаться подключиться к “https://mail/” прежде, чем будет установлено соединение через VPN. В этот момент злоумышленник может произвести подмену и украсть данные пользователя.

Здесь следует заметить, что не имеет значения, использовался ли SSL сертификат от известного доверенного центра сертификации (как Comdo, Thawte, Symantec и другие), или же самоподписанный SSL сертификат от частного корпоративного центра сертификации. Если между SSL сертификатом, используемым мошенником, будет установлена цепочка с центром сертификации в хранилище браузера или операционной системы, сертификат будет принят всеми клиентами, создавая уязвимость даже на стороне пользователей частной инфраструктуры приватных ключей (PKI).

Из-за того, что невозможно провести полноценную проверку локальных доменов и IP адресов, а также из-за высокой возможности использования таких SSL сертификатов в мошеннических целях, Форум ЦС и Браузеров принял решении о прекращении их выдачи.

Какие есть альтернативы?

1. Использовать полностью определенные доменные имена (FQDN) и поиск DNS суффикса домена.

Многие сайты, доступные по локальному имени домена, могут также быть доступными и правильно определяться по FQDN, так как программное обеспечение DNS-клиента использует процесс называемый поиском суффикса, при котором настроенные суффиксы добавляются к локальному имени и в результате имеется полностью определенный домен FQDN. Как правило, это происходит автоматически для доменов, частью которых является система. Например, система с именем “client.example.com” использует “example.com” в качестве суффикса для поиска. Пытаясь установить связь с именем ”server”, эта система будет автоматически пробовать найти “server.example.com” через DNS поиск. Поиск DNS суффикса домена можно настроить самостоятельно.

Если Вы используете домен.local для внутренней сети, этот способ Вам не подойдет, рекомендуем рассмотреть следующий.

• Tutorial

Жмем Sing-up и переходим к регистрации, где заполняем небольшую форму. Все поля обязательны к заполнению, нужно вводить настоящие данные, могут проверить вашу личность и отозвать сертификат, заблокировать аккаунт. Адрес нужно указывать домашний, а не рабочий. Так же желательно чтобы при регистрации использовалась латиница - это поможет весьма сократить то время за которое подтвердят регистрацию аккаунта.

Нам предлагают ввести проверочный код, который был выслан на email. Вводим. Далее нам предлагают выбрать размер ключа для вашего сертификата (для авторизации на сайте) 2048 или 4096.

Сертификат сгенерирован, и мы должны подтвердить его установку в браузер.

Верификация домена

Перед получением сертификата нам нужно подтвердить право владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation

Вводим домен

Выбираем email, на который будет отослано письмо для подтверждения (postmaster, hostmaster, webmaster либо email из whois)

Получаем письмо и вводим код из него в поле. Все - домен подтвержден, можно приступать к генерации сертификата. В течении 30 дней мы можем генерировать сертификат. Далее нужно будет повторить процедуру верификации.

Генерация сертификата

Идем в раздел Certificates Wizard и там выбираем Web Server SSL/TSL Certificate

Далее у нас 2 варианта - либо нажать на Skip и ввести запрос на генерацию сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас нет, поэтому будем генерировать все в данном мастере.

Вводим пароль для ключа (мин. 10 символов - макс. 32) и размер ключа (2048\4096).

Получаем и сохраняем ключ.

Выбираем домен, для которого будем генерировать сертификат (домен должен быть уже подтвержден).

Нам дают право на включение в сертификат один поддомен - пусть будет стандартный www

Получили немного информации о сертификате, жмем на Continue.

Теперь ждем подтверждения сотрудником StartSSL сертификата. Обещают в течении 3-х часов, однако на практике все происходит намного быстрее, мне пришлось ждать 10 минут. Ранее заказывал ночью - примерно за такое же время подтверждали запрос.

Получение сертификата

Нам осталось только получить сертификат и установить его на сервере. Идем в Tool Box -> Retrieve Certificate, выбираем домен и копируем сертификат.

Про установку не буду писать, информация есть на хабре и на StartSSL .

Проходим проверку (2-й уровень верификации)

Для снятия ограничений бесплатного сертификата нужно пройти идентификацию. Для этого в Validations Wizard выбираем Personal Identity Validation, проходим несколько шагов и нам предлагают загрузить документы


Для загрузки документов нужно только выбрать их в поле. Загрузить нужно не менее 2-х документов, подтверждающих вашу личность (главный разворот паспорта, водительские права, удостоверение личности, карточку социального обеспечения, свидетельство о рождении и т.д., я загружал главный разворот паспорта и студенческого билета). Могут запросить дополнительные документы - у меня запросили счет за телефон, в котором указан мой адрес, номере телефона и имя, в качестве альтернативы можно получить аналоговой почтой письмо для верификации адреса.

Все, на этом подготовка к верификации окончена. Вам должно будет прийти письмо от поддержки с дальнейшими инструкциями. По окончании верификации вы сможете выпускать WildCart сертификаты в течении 350 дней. Далее нужно будет проходить проверку заново.

Несколько фактов о StartSSL

• 25 мая 2011 StartSSL был подвергнут атаке сетевых взломщиков (в простонародии хакеров), однако получить фиктивные сертификаты им не удалось. Закрытый ключ, лежащий в основе всех операций, хранится на отдельном компьютере, не подключенном к интернету.
• StartSSL поставляет помимо SSL сертификатов для Web, сертификаты для шифрования почты (S/MIME), для шифрования серверов XMPP (Jabber), сертификаты для подписи ПО Object code signing certificates).
• StartSSL проверяет верность установки сертификатов. После установки сертификата (через некоторое время) я получил уведомление о отсутствии промежуточного сертификата, и ссылка на информацию по установки.
  После установки промежуточного сертификата пришло соответствующее письмо.
• StartSSL поддерживается множеством ПО: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
• Дружелюбная поддержка на русском языке
• Сравнительная таблица вариантов верификации

Добавить метки

SSL-сертификат (от англ. Secure Sockets Layer — уровень защищённых сокетов) - это протокол для кодировки данных, которые идут от пользователя к серверу и обратно.

Как SSL-сертификат работает?

На сервере есть ключ, с помощью которого шифруются любые данные, которыми он обменивается с пользователем. Браузер пользователя получает уникальный ключ (который известен только ему) и таким образом складывается ситуация, когда расшифровать информацию может только сервер и пользователь. Хакер конечно может перехватить данные, но расшифровать их практически невозможно.

Зачем SSL-сертификат владельцу сайта?

Если ваш сайт подразумевает регистрацию для пользователей, онлайн-покупки и т.д., то SSL-сертификат будет хорошим сигналом для пользователя, что вашему сайту можно доверять. Сегодня многие пользователи не знают об этом, и без раздумий передают данные своих кредиток на различных сайтах. Но в будущем таких людей будет становиться все меньше и меньше, т.к. после первой же пропажи денег с карточки человек сразу задумывается "а что нужно делать, чтобы деньги не пропадали?", "каким сайтам можно доверять?". В итоге о безопасном соединение, говорит наличие протокола https:// в адресе сайта или такой вид адресной строки в браузере.

Как получить SSL-сертификат?

SSL-сертификаты выдают специальные сертификационные центры, наиболее популярными в мире считаются Thawte , Comodo , Symantec . Но все они имеют англоязычный интерфейс, что создает определенные неудобства для отечественных пользователей. Поэтому сейчас появилось очень много компаний, которые являются посредниками и продают SSL-сертификаты. Это же делают и крупные хостинг-компании, и регистраторы доменов. Мы рекомендуем покупать сертификаты именно у качественных хостеров или регистраторов доменов. А еще лучше, покупать их у той компании, у которой вы регистрировали свой домен. Как правило эти компании сотрудничают с сертификационными центрами, и за счет объема имеют существенную скидку. Поэтому итоговая цена для вас скорее всего не будет меняться.

Какие бывают SSL-сертификаты?

Начальный уровень

Как правило такие сертификаты покупают в том случае, если не нужно подтверждать компанию (или компании вовсе нет, а сайт принадлежит частному лицу), а нужно лишь безопасное соединение.

• Самые дешевые
• Срок выдачи: несколько часов
• Подтверждают права на домен, и не подтверждают компанию
• Для юридических, физических и частных лиц
• Не нужны какие-либо документы

Средний уровень

Такие сертификаты уже могут подтвердить компанию владельца домена, что вызывает больше доверия у посетителей сайта. Ведь документы компании проверяет аттестационный центр, что должно вызывать максимальное доверие пользователей. При этом адрес сайта в браузере подсвечивается зеленым цветом.

• Средняя стоимость
• Срок выдачи: в течении недели
• Подтверждают компанию, которая владеет доменом
• Только для юридических лиц
• Требуются документы, подтверждающие вашу компанию и ее адрес

высокий уровень

Данные сертификаты имеют все показатели Среднего уровня, но цена их дороже, за счет маркетинговой игры центров аттестации. Так например вы сможете их использовать не только на основном домене, но и на поддоменах (например forum.mysite.com и т.д.), или пользователи с устаревшими браузерами смогут использовать защищенное соединение. Также от уровня сертификата зависит максимальный срок регистрации сертификата. Как правило он составляет 1-4 года от даты выдачи.

Сколько стоит SSL-сертификат?

Цена находится в рамках от 30 до 1200 долларов США в год. Но есть и бесплатные варианты, в виде бесплатные варианты , хотя их использование не совсем удобно.

Что нужно чтобы получить?

Для сертификатов низкого уровня

• e-mail (обязательно чтобы он принадлежал вашему сайту, например для сайта mysite.com имейл может быть [email protected]
• Имя или организация
• Адрес

Для сертификатов более высокого уровня

Здесь проводиться проверка организации, поэтому к тому, что перечислено выше вам придется добавить:

• Телефон
• Документы подтверждающие организацию (номер регистрации компании или подобные документы). В целом для каждой страны перечень
• документов разный, но будьте готовы к серьезной проверке, в плоть до того, что придется высылать копию договора о предоставлении услуг связи, чтобы подтвердить телефон. Отправка скан-копий документов возможно по факсу и электронной почте.

Также для получения SSL-сертификата у домена должен быть отключен WHOIS-Protect (скрытие данных о домене). На сегодня это правило не действует лишь на домены.ru и.рф. И еще, обязательной является генерация CSR.

Что такое CSR?

CSR (Certificate Signing Request) - это зашифрованный запрос, который нужно приложить к заявке отправляемой в центр сертификации. Этот запрос нужно сгенерировать на сервере, на котором расположен ваш сайт. Процесс генерации CSR зависит от сервера, а точнее от программного обеспечения, которое на нем установлено. Если покупать сертификат через хостинг-компанию у которой расположен ваш сайт, то скорее всего вам будет представлен удобный интерфейс для генерации CSR. Если же его нет, то мы расскажем как это сделать для наиболее распространенного серверного софта (Linux\Apache).

Как генерировать CSR?

1. Подключаетесь к серверу через SSH-соединение

Используем программу PuTTY . В командной строке вводите:

openssl genrsa -out myprivate.key 2048

Тем самым мы генерируем закрытый приватный ключ для CSR. При этом будет задано два вопроса "Enter pass phrase for private.key" и "Verifying - Enter pass phrase for myprivate.key" - это просьба два раза ввести пароль для ключа. Важно чтобы вы его запомнили, т.к. понадобится на следующем шаге. В результате будет сгенерирован файл myprivate.key.

2. Генерируем CSR

Вводим команду:

openssl req -new -key myprivate.key -out domain-name.csr

Только меняйте domain-name на имя вашего домена. Потом в ответ на вопрос "Enter pass phrase for myprivate.key" вводим пароль, который мы задавали на предыдущем шаге.

После этого только английскими буквами заполняем:

Country Name - Код страны в формате ISO-3166 (нам нужен двухбуквенный код, берем его из колонки Alpha-2);
State or Province Name: Область или регион\штат;
Locality Name: Город;
Organization Name: Организация;
Organizational Unit Name: Подразделение (необязательное заполнять);
Common Name: доменное имя;
Email Address: ваш E-mail (необязательное поле);
A challenge password: (не нужно заполнять);
An optional company name: Другое название организации (не нужно заполнять).

Все данные которые вносятся должны быть правдивыми и совпадать с теми, которые вы заполняли при регистрации домена (проверить их можно через WHOIS-сервисы). В результате этих операций, на сервере будет создан файл domain-name.csr. Его нужно сохранить, и потом приложить к заявке на получение SSL-сертификата, которая подается в центр сертификации.

Что делать, после получения SSL-сертификата?

После получения сертификата его нужно установить на сервер. Процесс установки достаточно простой, но очень отличается в зависимости от программного обеспечения сервера. Поэтому поищите инструкцию на сайте хостинг-провайдера, а еще лучше - обратитесь в техническую поддержку, чтобы правильно все настроить.

Что делать если изменились данные организации или поменялся хостинг?

В таких случаях нужно переиздавать SSL-сертификат, но при этом это должно делать бесплатно для вас.