ความผิดปกติ 

เราได้รับชื่อโดเมน ใบรับรอง DNS และ SSL ฟรี ประเภทของใบรับรอง SSL โหมด CloudFlare SSL: เต็ม - ค่าเริ่มต้น

3 กันยายน 2554 เวลา 17:36 น

รับใบรับรอง SSL ฟรี

  • การบริหารระบบ
  • บทช่วยสอน

คลิก Sing-up และดำเนินการลงทะเบียน โดยเราจะกรอกแบบฟอร์มเล็กๆ ต้องกรอกทุกช่อง คุณต้องป้อนข้อมูลจริง สามารถตรวจสอบตัวตนของคุณและเพิกถอนใบรับรอง บล็อกบัญชีของคุณได้ คุณต้องป้อนที่อยู่บ้าน ไม่ใช่ที่อยู่ที่ทำงาน ขอแนะนำให้ใช้อักษรละตินระหว่างการลงทะเบียนซึ่งจะช่วยลดเวลาที่ใช้ในการยืนยันการลงทะเบียนบัญชีได้อย่างมาก

เราถูกขอให้ป้อนรหัสยืนยันที่ส่งทางอีเมล เข้ามากันเลย ต่อไป เราจะถูกขอให้เลือกขนาดคีย์สำหรับใบรับรองของคุณ (สำหรับการอนุญาตบนไซต์) 2048 หรือ 4096

สร้างใบรับรองแล้ว และเราต้องยืนยันการติดตั้งในเบราว์เซอร์



การยืนยันโดเมน

ก่อนที่จะได้รับใบรับรอง เราต้องยืนยันความเป็นเจ้าของโดเมนก่อน เมื่อต้องการทำเช่นนี้ ไปที่ส่วนตัวช่วยสร้างการตรวจสอบ และเลือกการตรวจสอบชื่อโดเมน

ป้อนโดเมน

เลือกอีเมลที่จะส่งอีเมลยืนยัน (บุรุษไปรษณีย์ โฮสต์มาสเตอร์ เว็บมาสเตอร์ หรืออีเมลจาก whois)

เราได้รับจดหมายและป้อนรหัสจากนั้นลงในช่อง เพียงเท่านี้ โดเมนได้รับการยืนยันแล้ว คุณสามารถเริ่มสร้างใบรับรองได้ ภายใน 30 วัน เราสามารถสร้างใบรับรองได้ ถัดไป คุณจะต้องทำขั้นตอนการยืนยันซ้ำ

การสร้างใบรับรอง

ไปที่ส่วนตัวช่วยสร้างใบรับรองแล้วเลือกใบรับรอง SSL/TSL ของเว็บเซิร์ฟเวอร์

ต่อไป เรามี 2 ตัวเลือก - คลิกข้ามแล้วป้อนคำขอเพื่อสร้างใบรับรอง หรือสร้างทุกอย่างในตัวช่วยสร้าง สมมติว่าเราไม่มีคำขอใบรับรอง ดังนั้นเราจะสร้างทุกอย่างในตัวช่วยสร้างนี้

ป้อนรหัสผ่านสำหรับคีย์ (อักขระขั้นต่ำ 10 ตัว - สูงสุด 32) และขนาดคีย์ (2048\4096)

เราได้รับและบันทึกรหัส

เลือกโดเมนที่เราจะสร้างใบรับรอง (โดเมนต้องได้รับการยืนยันแล้ว)

เราได้รับสิทธิ์ในการรวมโดเมนย่อยหนึ่งโดเมนไว้ในใบรับรอง - ให้เป็น www มาตรฐาน

เราได้รับข้อมูลบางอย่างเกี่ยวกับใบรับรอง คลิกดำเนินการต่อ

ตอนนี้เรากำลังรอพนักงาน StartSSL เพื่อยืนยันใบรับรอง พวกเขาสัญญาภายใน 3 ชั่วโมง แต่ในทางปฏิบัติทุกอย่างเกิดขึ้นเร็วกว่ามาก ฉันต้องรอ 10 นาที ก่อนหน้านี้ฉันสั่งตอนกลางคืน - คำขอได้รับการยืนยันในเวลาเดียวกัน

การได้รับใบรับรอง

สิ่งที่เราต้องทำคือรับใบรับรองและติดตั้งบนเซิร์ฟเวอร์ ไปที่กล่องเครื่องมือ -> ดึงใบรับรอง เลือกโดเมนและคัดลอกใบรับรอง

ฉันจะไม่เขียนเกี่ยวกับการติดตั้ง มีข้อมูลอยู่ใน StartSSL

ผ่านการตรวจสอบ (การตรวจสอบระดับที่ 2)

หากต้องการลบข้อจำกัดของใบรับรองฟรี คุณต้องผ่านการระบุตัวตน ในการดำเนินการนี้ ในตัวช่วยสร้างการตรวจสอบ ให้เลือก การตรวจสอบข้อมูลประจำตัวส่วนบุคคล ทำตามขั้นตอนต่างๆ และเราได้รับแจ้งให้อัปโหลดเอกสาร


หากต้องการอัปโหลดเอกสาร คุณจะต้องเลือกเอกสารเหล่านั้นในช่องเท่านั้น คุณต้องอัปโหลดเอกสารอย่างน้อย 2 ฉบับที่พิสูจน์ตัวตนของคุณ (หน้าแรกของหนังสือเดินทาง ใบขับขี่ บัตรประจำตัวประชาชน บัตรประกันสังคม สูติบัตร ฯลฯ ฉันอัปโหลดหน้าแรกของหนังสือเดินทางและบัตรประจำตัวนักเรียนแล้ว) พวกเขาอาจขอเอกสารเพิ่มเติม - พวกเขาขอใบเรียกเก็บเงินค่าโทรศัพท์ซึ่งแสดงที่อยู่หมายเลขโทรศัพท์และชื่อของฉัน หรือคุณสามารถรับจดหมายทางไปรษณีย์แบบอะนาล็อกเพื่อยืนยันที่อยู่

เพียงเท่านี้ การเตรียมการยืนยันก็เสร็จสมบูรณ์ คุณควรได้รับอีเมลจากฝ่ายสนับสนุนพร้อมคำแนะนำเพิ่มเติม เมื่อเสร็จสิ้นการตรวจสอบ คุณจะสามารถออกใบรับรอง WildCart ได้ภายใน 350 วัน ต่อไปคุณจะต้องผ่านการทดสอบอีกครั้ง

ข้อเท็จจริงบางประการเกี่ยวกับ StartSSL

  • เมื่อวันที่ 25 พฤษภาคม 2554 StartSSL ถูกโจมตีโดยแฮกเกอร์เครือข่าย (หรือที่รู้จักกันทั่วไปในชื่อแฮกเกอร์) แต่พวกเขาล้มเหลวในการรับใบรับรองปลอม รหัสส่วนตัวซึ่งรองรับการทำธุรกรรมทั้งหมดจะถูกจัดเก็บไว้ในคอมพิวเตอร์แยกต่างหากที่ไม่ได้เชื่อมต่อกับอินเทอร์เน็ต
  • นอกเหนือจากใบรับรอง SSL สำหรับเว็บแล้ว StartSSL ยังจัดหาใบรับรองสำหรับการเข้ารหัสเมล (S/MIME) สำหรับการเข้ารหัสเซิร์ฟเวอร์ XMPP (Jabber) และใบรับรองการลงนามรหัสอ็อบเจ็กต์
  • StartSSL ตรวจสอบว่ามีการติดตั้งใบรับรองอย่างถูกต้อง หลังจากติดตั้งใบรับรอง (หลังจากนั้นระยะหนึ่ง) ฉันได้รับการแจ้งเตือนเกี่ยวกับการไม่มีใบรับรองระดับกลาง และลิงก์ไปยังข้อมูลการติดตั้ง
    หลังจากติดตั้งใบรับรองระดับกลางแล้ว ก็ได้รับจดหมายที่เกี่ยวข้อง
  • StartSSL รองรับซอฟต์แวร์มากมาย: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, ซอฟต์แวร์ Mozilla, Netscape, Opera, Safari, SeaMonkey, iPhone, Windows
  • การสนับสนุนที่เป็นมิตรในภาษารัสเซีย
  • ตารางเปรียบเทียบตัวเลือกการยืนยัน
  • เริ่ม SL
เพิ่มแท็ก

ทำไมคุณต้องมีใบรับรอง SSL?

โปรโตคอล HTTP ซึ่งปัจจุบันใช้ในการส่งหน้า HTML ส่วนใหญ่บนอินเทอร์เน็ต ไม่สามารถป้องกันข้อมูลที่ส่งระหว่างเซิร์ฟเวอร์และเบราว์เซอร์ของผู้เยี่ยมชมได้ ข้อมูลดังกล่าวรวมถึงข้อมูลที่ส่งใด ๆ เช่น รหัสผ่าน หมายเลขโทรศัพท์ อีเมล ฯลฯ

การติดตั้งช่วยให้มั่นใจในการปกป้องข้อมูลที่ส่ง ใบรับรอง SSL- ในกรณีนี้ การเชื่อมต่อที่สร้างขึ้นระหว่างเบราว์เซอร์และไซต์จะใช้โปรโตคอล HTTPS ข้อมูลที่ส่งผ่านโปรโตคอล HTTPS จะถูกเข้ารหัสด้วยโปรโตคอลเข้ารหัส จึงมั่นใจได้ถึงการป้องกัน

การติดตั้งใบรับรอง SSL บนเว็บไซต์ของคุณทำให้คุณสามารถ:

สำหรับร้านค้าออนไลน์ การมีใบรับรอง SSL จะช่วยให้คุณสามารถใช้บริการต่างๆ เช่น Google Merchant และเกตเวย์การชำระเงินบางรายการ เช่น Yandex.Checkout

การมีใบรับรอง SSL คือ หนึ่งในปัจจัยการจัดอันดับการค้นหาสำหรับ PS Google และ Yandex- บริการ Yandex Webmaster ยังแสดงการแจ้งเตือนพร้อมคำแนะนำให้ใช้ใบรับรอง SSL:

ข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับความจำเป็นในการใช้ใบรับรอง SSL มีอยู่ใน

2 วิธีในการเชื่อมต่อใบรับรอง SSL สำหรับโดเมนร้านค้าออนไลน์บน InSales

สั่งซื้อใบรับรอง SSL ผ่านทางส่วนหลังของไซต์

หากต้องการสั่งซื้อใบรับรอง SSL ผ่านส่วนหลังของร้านค้าออนไลน์บน InSales ให้ไปที่ส่วนนี้ การตั้งค่า -> โดเมน -> คลิกที่ชื่อโดเมนซึ่งคุณต้องเชื่อมต่อใบรับรอง SSL

ในการตั้งค่าโดเมน คุณต้องเลือกหน้าของเว็บไซต์ที่จะใช้ HTTPS:

1. เมื่อทำการสั่งซื้อเท่านั้น- นี่เป็นตัวเลือกที่ปลอดภัยที่สุดหากไซต์ได้รับการจัดทำดัชนีโดยเครื่องมือค้นหาแล้ว โดยใช้ หน้าชำระเงิน HTTPS จะเข้ารหัสเฉพาะรถเข็นและหน้าชำระเงินเท่านั้น ซึ่งจะไม่ส่งผลกระทบต่อการจัดทำดัชนีของเว็บไซต์แต่อย่างใด

2. สำหรับทั้งไซต์- ในกรณีนี้ ทุกหน้าของเว็บไซต์จะถูกเข้ารหัส มีความเกี่ยวข้องกับการใช้สำหรับไซต์ใหม่ที่ยังไม่ได้รับการจัดทำดัชนีโดยเครื่องมือค้นหา หากไซต์ได้รับการจัดทำดัชนีในเครื่องมือค้นหาสำหรับเว็บมาสเตอร์แล้ว คุณจะต้องทำการตั้งค่าที่เหมาะสมเพื่อไม่ให้หน้าของไซต์หลุดออกจากดัชนี

หลังจากกดปุ่มแล้ว "บันทึก"จะถูกเปลี่ยนเส้นทางไปยังหน้า "โดเมนของคุณ"โดยที่โดเมนที่ใบรับรอง SSL เชื่อมต่อจะมีสถานะ "รอการชำระเงิน"และในส่วน "บัญชี"คุณจะได้รับใบแจ้งหนี้สำหรับใบรับรอง SSL


หากต้องการชำระเงินเพื่อรับใบรับรอง SSL ให้ไปที่ส่วนนี้ "บัญชี" -> "บัญชี"และชำระบิลด้วยวิธีใดก็ได้ที่สะดวก


หลังจากชำระเงินตามใบแจ้งหนี้แล้วใบรับรอง SSL จะเป็น โดยอัตโนมัติเชื่อมต่อกับโดเมนของคุณภายใน 4 ชั่วโมง (สำหรับ URL เก่าทั้งหมด การเปลี่ยนเส้นทาง 301 จะถูกสร้างขึ้นไปยังหน้าที่เกี่ยวข้องด้วย https ตามข้อกำหนดของเครื่องมือค้นหา)

หลังจากนี้ การเปลี่ยนไซต์ไปใช้ HTTPS จะเสร็จสิ้นคุณจะต้องเพิ่มเวอร์ชัน https ของไซต์ลงใน Yandex Webmaster และระบุว่าเป็นมิเรอร์หลักในส่วนนี้ การจัดทำดัชนี - การย้ายไซต์:


ภายในไม่กี่วันหลังจากส่งใบสมัครคุณจะได้รับการแจ้งเตือนเกี่ยวกับการเปลี่ยนกระจกหลัก คุณยังสามารถเพิ่มเวอร์ชัน https ของเว็บไซต์ใน Google Search Console ได้ ในกรณีนี้ คุณไม่จำเป็นต้องดำเนินการตั้งค่าเพิ่มเติมใดๆ สำหรับ Google

นอกจากนี้:หากคุณทำการเปลี่ยนแปลงในไฟล์ robots.txt คุณควรแทนที่คำสั่งที่มีที่อยู่โดเมนจาก http เป็น https

อัปโหลดใบรับรอง SSL ของคุณ

คุณยังสามารถเชื่อมต่อใบรับรอง SSL ของบริษัทอื่นกับโดเมนที่เชื่อมโยงกับเว็บไซต์บน InSales ได้อีกด้วย

เราสนับสนุน ใบรับรอง SSL ทุกประเภทจากซัพพลายเออร์ใดๆ

หากต้องการเชื่อมต่อใบรับรอง SSL ของบริษัทอื่น คุณต้องขอจากผู้ให้บริการ รหัสส่วนตัวและทั้งหมด ห่วงโซ่ใบรับรอง.

ข้อมูลที่ผู้ให้บริการใบรับรองให้มาจะต้องส่งถึงเราพร้อมกับคำขอเพื่อเชื่อมต่อใบรับรองสำหรับโดเมนของคุณ ในคำขอ ให้ระบุโดเมนและวิธีการเชื่อมต่อใบรับรอง SSL: สำหรับทั้งไซต์หรือ เฉพาะหน้าชำระเงินและตะกร้าสินค้าเท่านั้น.

ไคลเอนต์ FirstVDS ที่มีแผง ISPmanager บนเซิร์ฟเวอร์เสมือนสามารถติดตั้งใบรับรอง Let's Encrypt ฟรีสำหรับไซต์จำนวนเท่าใดก็ได้ Let's Encrypt เป็นใบรับรอง SSL ปกติพร้อมการตรวจสอบโดเมน (DV) ซึ่งออกให้ในระยะเวลาไม่จำกัด

จะติดตั้งใบรับรองได้อย่างไร?

1. เข้าสู่แผง ISPmanager ด้วยสิทธิ์ superuser (root)

2. ไปที่ Integration → Modules ติดตั้งปลั๊กอิน Let's Encrypt ฟรี


3. ไปที่การตั้งค่าเว็บเซิร์ฟเวอร์ → ใบรับรอง SSL เลือก Let's Encrypt


4. เลือกผู้ใช้และโดเมนที่คุณต้องการติดตั้งใบรับรอง โดเมนจะต้องได้รับการมอบหมาย เช่น จะต้องเปิดไซต์ - มิฉะนั้นจะไม่ออกใบรับรอง กรอกแบบฟอร์มที่เหลือ


5. ใบรับรองจะถูกติดตั้งโดยอัตโนมัติบนเว็บไซต์ด้วยโดเมนที่เลือก ขั้นแรก มีการติดตั้งใบรับรองที่ลงนามด้วยตนเองบนเว็บไซต์ ซึ่งจะถูกแทนที่ด้วยใบรับรองแบบเต็มหลังจากกระบวนการเสร็จสิ้น รอให้ออกใบรับรอง - ประเภทควรเปลี่ยนเป็น " ที่มีอยู่เดิม».


6. เสร็จแล้ว! เว็บไซต์ของคุณได้รับการปกป้องโดยใบรับรอง Let's Encrypt ที่ลงนามแล้ว - ควรมีแม่กุญแจสีเขียวในแถบที่อยู่ ใบรับรองมีผลใช้ได้เป็นระยะเวลาไม่กำหนด


มันเหมาะกับอะไร?

Let's Encrypt ใบรับรองมีความเหมาะสม เพื่อปกป้องเว็บไซต์- ไม่สามารถใช้ใบรับรองสำหรับการลงนามรหัสและการเข้ารหัสอีเมล

มีการตรวจสอบประเภทใดบ้าง?

เท่านั้น การยืนยันโดเมน(DV, การตรวจสอบโดเมน) ไม่รองรับการตรวจสอบ OV และ EV และยังไม่มีการวางแผน

ปล่อยออกมาได้เร็วแค่ไหน?

ออกใบรับรอง Let's Encrypt แล้วและเริ่มทำงานได้ ภายในไม่กี่นาที- เงื่อนไขหลักคือโดเมนที่ผูกกับใบรับรองจะต้องได้รับการมอบหมาย ตรวจสอบได้ง่าย: เขียนชื่อโดเมนของเว็บไซต์ลงในแถบที่อยู่ของเบราว์เซอร์ของคุณแล้วกด Enter หากคุณเห็นไซต์ของคุณ แสดงว่าทุกอย่างเรียบร้อย - คุณสามารถเริ่มรับใบรับรองได้

ใบรับรองมีอายุนานแค่ไหน?

ตลอดไปหากมีแผงควบคุม ISPmanager บนเซิร์ฟเวอร์ หากไม่มีแผง. ใบรับรองจะไม่ถูกต่ออายุ- ทำไมเป็นเช่นนั้น? ใบรับรอง Let's Encrypt จะออกให้เป็นเวลา 3 เดือน ปลั๊กอิน ISPmanager จะต่ออายุใบรับรองโดยอัตโนมัติ 7 วันก่อนสิ้นสุดระยะเวลาถัดไป หากคุณลบแผงออก เมื่อสิ้นสุด 3 เดือนถัดไป ใบรับรองจะไม่ได้รับการต่ออายุและจะไม่ถูกยกเลิก เบราว์เซอร์ตรวจพบอีกต่อไป - ไอคอน HTTPS ที่ขีดฆ่าจะปรากฏขึ้นและคำเตือนเกี่ยวกับการเชื่อมต่อที่ไม่ปลอดภัย ในกรณีนี้ คุณจะต้องอัปเดตใบรับรองด้วยตนเองทุก 3 เดือน หรือกำหนดค่าการต่ออายุอัตโนมัติด้วยตนเองโดยใช้ซอฟต์แวร์บุคคลที่สาม

เบราว์เซอร์จะรับรู้ใบรับรองว่าเชื่อถือได้หรือไม่

ใช่! ฉันจะ- รองรับเบราว์เซอร์ที่ทันสมัยที่สุด ข้อมูลความเข้ากันได้โดยละเอียดสามารถพบได้ในฟอรัมสนับสนุนอย่างเป็นทางการ

สามารถใช้เพื่อวัตถุประสงค์ทางการค้าได้หรือไม่?

ใช่คุณสามารถ- มีการสร้างใบรับรองเพื่อจุดประสงค์ดังกล่าว

รองรับชื่อรหัสประเทศ (IDN) หรือไม่

มาเข้ารหัสใบรับรองกัน รองรับไอดีเอ็น- ชื่อโดเมนที่ใช้อักขระจากตัวอักษรประจำชาติ คุณสามารถใช้ใบรับรองสำหรับโดเมน Cyrillic เช่น moisite.rf

รองรับโดเมนย่อย (ไวด์การ์ด) หรือไม่

มาเข้ารหัสใบรับรองกันดีกว่า ใบรับรองดังกล่าวได้รับการตรวจสอบผ่านบันทึก DNS เท่านั้น

รองรับหลายโดเมน (SAN) หรือไม่

เลขที่- ตัวใบรับรองรองรับ SAN ของโดเมนต่างๆ มากถึง 100 โดเมน แต่กระบวนการผูกข้อมูลอัตโนมัติในแผงทำให้ฟีเจอร์นี้ขัดขวาง แต่ละโดเมนจะต้องได้รับการกำหนดค่าแยกกัน

วิธีการตั้งค่าการเปลี่ยนเส้นทางอัตโนมัติไปยัง HTTPS

แม้ว่าจะมีการติดตั้งใบรับรองบนไซต์แล้วก็ตาม ผู้เยี่ยมชมสามารถพิมพ์ที่อยู่ในเบราว์เซอร์ผ่าน http://... หรือไปที่ลิงก์เก่าในเครื่องมือค้นหา ในกรณีนี้ การเชื่อมต่อของเขาจะไม่ปลอดภัย และเขาจะไม่รู้ว่าไซต์นั้นใช้ใบรับรอง SSL เพื่อเข้ารหัสข้อมูลที่ส่ง เพื่อให้แน่ใจว่าคำขอทั้งหมดจากผู้เยี่ยมชมไซต์ได้รับการเข้ารหัสด้วยใบรับรอง คุณต้องกำหนดค่าการเปลี่ยนเส้นทาง HTTP → HTTPS

เปลี่ยนเส้นทางโดยใช้ชุดค่าผสม Apache + Nginx

1. ในแผงควบคุม ISPmanager ไปที่โดเมน → โดเมน WWW เลือกโดเมนที่มีใบรับรองแล้วคลิกแก้ไข


2. ในการตั้งค่า ให้เลือกช่องเปลี่ยนเส้นทางคำขอ HTTP ไปยัง HTTPS และใช้การเปลี่ยนแปลง


3. เสร็จแล้ว! คำขอทั้งหมดไปยังไซต์ตอนนี้ต้องผ่านการเชื่อมต่อ HTTPS ที่ปลอดภัย

เปลี่ยนเส้นทางบน Apache ล้วนๆ

ความสนใจ!การเปลี่ยนแปลงทั้งหมดในไฟล์การกำหนดค่า Apache ที่คุณทำ ด้วยความเสี่ยงของตัวเอง- การตั้งค่าที่อธิบายด้านล่างนี้จะใช้ได้ในกรณีส่วนใหญ่ แต่อาจทำให้เกิดปัญหากับการกำหนดค่าเฉพาะได้ เชื่อถือผู้เชี่ยวชาญหากคุณไม่แน่ใจเกี่ยวกับผลลัพธ์ของการเปลี่ยนแปลงที่เกิดขึ้น

1. ในแผงควบคุม ISPmanager ไปที่โดเมน → โดเมน WWW เลือกโดเมนที่มีใบรับรองแล้วคลิกกำหนดค่า

บ่อยครั้งที่เราได้รับคำขอเกี่ยวกับวิธีการขอรับใบรับรอง SSL สำหรับโดเมนท้องถิ่น (.local) หรือสำหรับที่อยู่ IP หากก่อนหน้านี้สามารถรับใบรับรอง SSL ประเภทแยกสำหรับที่อยู่ IP หรือโดเมนภายใน น่าเสียดายที่ตอนนี้ไม่สามารถทำได้อีกต่อไป การสั่งซื้อใบรับรองภายใน เช่น Comodo IntranetSSL ไม่สามารถทำได้อีกต่อไป และใบรับรองหลายโดเมนที่รองรับโดเมน .local ในเครื่องจะสามารถใช้ได้จนถึงวันที่ 31 ตุลาคม 2558 เท่านั้น สำหรับใบรับรอง SSL ที่ออกก่อนหน้านี้สำหรับโดเมนภายในและที่อยู่ IP ในวันที่ 1 ตุลาคม 2559 จะถูกเพิกถอนหรือบล็อกโดยเบราว์เซอร์

เหตุใดใบรับรอง SSL จึงถูกยกเลิกสำหรับ IP และโดเมนท้องถิ่น

การตัดสินใจหยุดการออกใบรับรอง SSL สำหรับโดเมน .local และสำหรับที่อยู่ IP เกิดขึ้นที่ฟอรัมผู้ออกใบรับรองและเบราว์เซอร์ (ฟอรัม CA/B)

เป้าหมายที่สำคัญที่สุดของผู้ออกใบรับรองเมื่อออกใบรับรอง SSL คือเพื่อให้มั่นใจในความน่าเชื่อถือและความน่าเชื่อถือโดยการเชื่อมโยงข้อมูลคีย์สาธารณะที่เข้ารหัสลับกับบุคคลหรือบริษัทที่ได้รับการตรวจสอบ ใบรับรอง SSL ระบุคอมพิวเตอร์ว่าเป็นเซิร์ฟเวอร์ที่นำเสนอโปรโตคอลตั้งแต่หนึ่งโปรโตคอลขึ้นไป (โดยปกติคือ HTTP สำหรับการรับส่งข้อมูลเว็บ แต่ยังรวมถึง SMTP, POP, IMAP, FTP, XMPP, RDP และอื่นๆ) ผ่าน SSL/TLS

สามารถเข้าถึงเซิร์ฟเวอร์ได้โดยใช้ชื่อหรือที่อยู่จำนวนหนึ่ง เซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตมักจะมีชื่อของตัวเองในระบบชื่อโดเมน (DNS) ซึ่งอนุญาตให้ระบบอื่นๆ บนอินเทอร์เน็ตแก้ไขชื่อนั้นเป็นที่อยู่ IP และเข้าถึงเซิร์ฟเวอร์ได้ ตัวอย่างเช่น ลองใช้เซิร์ฟเวอร์ที่มีชื่อโดเมน “server1234.site” ระบบนี้มีที่อยู่ IP ที่สามารถกำหนดเส้นทางได้บนอินเทอร์เน็ต - IPv4 หรือ IPv6 หรือทั้งสองอย่าง

อย่างไรก็ตาม เซิร์ฟเวอร์อาจมีชื่อและที่อยู่เพิ่มเติมที่ถูกต้องเฉพาะในบริบทของเครือข่ายท้องถิ่นเท่านั้น และไม่ใช่ทั่วทั้งอินเทอร์เน็ต ดังนั้นเซิร์ฟเวอร์เดียวกันจากตัวอย่างข้างต้นสามารถเข้าถึงได้โดยคอมพิวเตอร์เครื่องอื่นในเครือข่ายท้องถิ่นภายใต้ชื่อ "mail" หรือ "mail.local"

ชื่อโดเมนท้องถิ่นสามารถแปลงเป็นที่อยู่ IP ที่กำหนดเส้นทางได้บนอินเทอร์เน็ตหรือเป็นที่อยู่ IP ที่สามารถเข้าถึงได้ผ่านเครือข่ายท้องถิ่นเท่านั้น พื้นที่ที่อยู่ IP "192.168.*.*" ที่เกตเวย์อินเทอร์เน็ตภายในบ้านจำนวนมากใช้อาจเป็นชุดที่อยู่เครือข่ายส่วนบุคคลที่รู้จักกันดีที่สุด แต่ยังมีพื้นที่ที่อยู่ IPv4 และ IPv6 จำนวนมากที่สงวนไว้สำหรับการใช้งานส่วนตัวหรือการใช้งานอื่น ๆ

ข้อแตกต่างที่สำคัญระหว่างชื่อโดเมนและที่อยู่ IP ทั้งสองประเภทนี้คือความเป็นเอกลักษณ์ ป ชื่อโดเมนแบบเต็ม (FQDN) เช่น “www.site” แสดงถึงเอกลักษณ์เฉพาะตัวและแยกแยะได้ง่ายบนอินเทอร์เน็ต (แม้ว่าเซิร์ฟเวอร์หลายเครื่องจะตอบสนองต่อชื่อโดเมนนั้น ก็มีเพียงคนเดียวเท่านั้นที่สามารถจัดการได้) ในเวลาเดียวกัน ระบบหลายพันระบบบนเครือข่ายสาธารณะและส่วนตัว (ท้องถิ่น) สามารถตอบสนองชื่อโดเมน “เมล” ที่ไม่ได้กำหนดได้ บนอินเทอร์เน็ต โหนดการสื่อสารเพียงโหนดเดียวเท่านั้นที่มีที่อยู่ IP “5.63.155.56” ในขณะที่เกตเวย์อินเทอร์เน็ตภายในบ้านหลายหมื่นแห่งมีที่อยู่ “192.168.0.1”

มีการออกใบรับรอง SSL จากหน่วยงานออกใบรับรองที่เชื่อถือได้เพื่อให้มั่นใจในความปลอดภัยและความน่าเชื่อถือสำหรับชื่อโดเมนทั่วทั้งอินเทอร์เน็ต ชื่อโดเมนที่ไม่ซ้ำกันโดยธรรมชาติแล้ว ไม่สามารถระบุได้นอกบริบทท้องถิ่น ดังนั้นใบรับรอง SSL ที่ออกให้กับโดเมนท้องถิ่นจึงอาจเป็นอันตรายได้เนื่องจากสามารถใช้เพื่อวัตถุประสงค์ในการฉ้อโกงได้

ด้วยเหตุนี้เองที่หน่วยงานออกใบรับรองปฏิเสธที่จะออกใบรับรอง SSL สำหรับโดเมนและที่อยู่ IP ที่ซ้ำกัน เช่น “mail”, “mail.local” หรือ “192.168.0.1”

เหตุใดการใช้ใบรับรอง SSL สำหรับโดเมนท้องถิ่นและที่อยู่ IP จึงเป็นอันตราย

ตัวอย่างเช่น สมมติว่าบริษัทติดตั้งระบบอีเมลไว้ที่ “https://mail/” ระบบไม่สามารถเข้าถึงได้ผ่านทางเวิลด์ไวด์เว็บ แต่ผ่านทางเครือข่ายองค์กรในพื้นที่หรือผ่านทาง VPN เท่านั้น ปลอดภัยไหม?

ไม่จำเป็นหากคุณมีใบรับรอง SSL สำหรับชื่อโดเมน “เมล” จากผู้ออกใบรับรองที่เชื่อถือได้ ชื่อโดเมน “mail” นั้นไม่ซ้ำกัน ดังนั้นเกือบทุกคนสามารถรับใบรับรอง SSL สำหรับ “https://mail/” ได้ หากผู้โจมตีใช้ใบรับรองดังกล่าวบน LAN ขององค์กรควบคู่ไปกับการปลอมแปลงชื่อท้องถิ่น เขาสามารถปลอมแปลงเซิร์ฟเวอร์อีเมลขององค์กรจริง ๆ และรับข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้และข้อมูลที่ละเอียดอ่อนอื่น ๆ ได้อย่างง่ายดาย ยิ่งไปกว่านั้น ผู้ฉ้อโกงไม่จำเป็นต้องอยู่ในเครือข่ายองค์กรเพื่อโจมตีได้สำเร็จ หากผู้ใช้เชื่อมต่อแล็ปท็อปของบริษัทกับเครือข่าย WiFi สาธารณะ ไคลเอนต์อีเมลอาจพยายามเชื่อมต่อกับ “https://mail/” โดยอัตโนมัติก่อนที่จะสร้างการเชื่อมต่อ VPN ณ จุดนี้ ผู้โจมตีสามารถทำการทดแทนและขโมยข้อมูลผู้ใช้ได้

ควรสังเกตว่าไม่สำคัญว่าใบรับรอง SSL จะถูกนำมาใช้จากผู้ออกใบรับรองที่เชื่อถือได้ซึ่งเป็นที่รู้จัก (เช่น Comdo, Thawte, Symantec และอื่นๆ) หรือใบรับรอง SSL ที่ลงนามด้วยตนเองจากผู้ออกใบรับรองส่วนตัวขององค์กร หากใบรับรอง SSL ที่นักหลอกลวงใช้เชื่อมโยงกับผู้ออกใบรับรองในเบราว์เซอร์หรือที่เก็บข้อมูลของระบบปฏิบัติการ ไคลเอนต์ทั้งหมดจะยอมรับใบรับรองนั้น ทำให้เกิดช่องโหว่แม้แต่ในฝั่งผู้ใช้โครงสร้างพื้นฐานคีย์ส่วนตัว (PKI)

เนื่องจากเป็นไปไม่ได้ที่จะทำการตรวจสอบโดเมนท้องถิ่นและที่อยู่ IP ทั้งหมด รวมถึงความเป็นไปได้สูงที่จะใช้ใบรับรอง SSL ดังกล่าวเพื่อวัตถุประสงค์ในการฉ้อโกง CA และฟอรัมเบราว์เซอร์จึงตัดสินใจหยุดการออกใบรับรองดังกล่าว

ทางเลือกอื่นคืออะไร?

1. ใช้ชื่อโดเมนแบบเต็ม (FQDN) และการค้นหา DNS ของส่วนต่อท้ายโดเมน

ไซต์จำนวนมากที่สามารถเข้าถึงได้ด้วยชื่อโดเมนท้องถิ่นยังสามารถเข้าถึงได้และระบุอย่างถูกต้องโดย FQDN เนื่องจากซอฟต์แวร์ไคลเอ็นต์ DNS ใช้กระบวนการที่เรียกว่าการค้นหาส่วนต่อท้าย โดยที่ส่วนต่อท้ายที่กำหนดค่าไว้จะถูกเพิ่มลงในชื่อในเครื่อง และผลลัพธ์ที่ได้คือโดเมน FQDN ที่มีคุณสมบัติครบถ้วน โดยปกติแล้ว สิ่งนี้จะเกิดขึ้นโดยอัตโนมัติสำหรับโดเมนที่ระบบเป็นส่วนหนึ่ง ตัวอย่างเช่น ระบบชื่อ "client.example.com" ใช้ "example.com" เป็นส่วนต่อท้ายการค้นหา เมื่อพยายามสร้างการเชื่อมต่อกับชื่อ "เซิร์ฟเวอร์" ระบบนี้จะพยายามค้นหา "server.example.com" โดยอัตโนมัติผ่านการค้นหา DNS คุณสามารถกำหนดค่าการค้นหา DNS สำหรับส่วนต่อท้ายโดเมนได้ด้วยตัวเอง

หากคุณใช้โดเมน .local สำหรับเครือข่ายภายในของคุณ วิธีการนี้จะไม่เหมาะกับคุณ เราขอแนะนำให้คุณพิจารณาสิ่งต่อไปนี้

เมื่อผู้โจมตีพยายามเข้าถึงไซต์ของคุณ ไซต์นั้นอาจถูกปลอมแปลงได้แม้ว่าผู้ใช้จะป้อนชื่อโดเมนอย่างถูกต้องก็ตาม

ใบรับรอง SSL ขจัดความเป็นไปได้ของการทดแทนดังกล่าว - ด้วยการดูใบรับรอง ผู้ใช้สามารถตรวจสอบให้แน่ใจว่าโฮสต์ของโดเมนตรงกับไซต์ที่ควรอยู่ที่นั่น และไม่ซ้ำกัน

นอกจากนี้ ใบรับรอง SSL ยังช่วยให้ผู้ใช้ตรวจสอบได้ว่าใครเป็นเจ้าของไซต์ ซึ่งหมายความว่าผู้ใช้สามารถตรวจสอบให้แน่ใจว่าเขาได้เยี่ยมชมเว็บไซต์ขององค์กรที่เขาต้องการ ไม่ใช่เว็บไซต์ขององค์กรสองเท่า

ฟังก์ชั่นที่สำคัญอีกประการหนึ่งของใบรับรอง SSL คือการเข้ารหัสการเชื่อมต่ออินเทอร์เน็ต การเชื่อมต่อที่เข้ารหัสเป็นสิ่งจำเป็นเพื่อป้องกันการโจรกรรมข้อมูลที่เป็นความลับในขณะที่ถูกส่งผ่านเครือข่าย

เราขอแนะนำให้ติดตั้งใบรับรอง SSL ในส่วนของไซต์ที่ผู้ใช้ป้อนข้อมูลที่เป็นความลับ เช่น ในหน้าการอนุญาตและการชำระเงิน การมีใบรับรองบนเว็บไซต์ช่วยป้องกันการปลอมแปลงที่อาจเกิดขึ้นได้ เนื่องจากผู้ใช้สามารถตรวจสอบให้แน่ใจเสมอว่าเว็บไซต์นั้นเป็นของแท้และตรวจสอบว่าใครเป็นของใคร

ด้วยเหตุผลด้านความปลอดภัย ใบรับรอง SSL ไม่สามารถโอนไปยังสัญญาอื่นได้

คุณสามารถตรวจสอบความเป็นเจ้าของโดเมนในคำสั่งซื้อใบรับรองผ่านอีเมลที่ระบุสำหรับโดเมนในบริการ Whois ในการดำเนินการนี้ คุณต้องติดต่อผู้รับจดทะเบียนโดเมนและลงทะเบียนอีเมลใดๆ ในบริการ Whois หากโดเมนจดทะเบียนใน RU-CENTER ให้ป้อนอีเมลของคุณในบัญชีส่วนตัวของคุณ:

  1. เลือก บริการ → โดเมนของฉัน.
  2. คลิกที่ชื่อโดเมนเป็นลิงค์ที่ใช้งานอยู่
  3. ในบรรทัด คำอธิบายใน Whoisคลิกลิงก์ เปลี่ยน.
  4. กรอกอีเมลของคุณแล้วคลิกปุ่ม บันทึกการเปลี่ยนแปลง- หลังจากนี้โปรดแจ้งให้เราทราบถึงการดำเนินการที่

หากคุณสร้างคำขอใบรับรอง CSR ในบัญชีส่วนตัว RU-CENTER ของคุณ (เลือกตัวเลือก "สร้าง CSR") คีย์ส่วนตัวจะถูกบันทึกบนคอมพิวเตอร์ของคุณโดยอัตโนมัติด้วยชื่อไฟล์ privatekey.txt ลองค้นหาบนคอมพิวเตอร์ของคุณ หากไม่บันทึกไฟล์ คุณจะไม่สามารถดำเนินการขั้นตอนต่อไปได้เมื่อส่งคำสั่งซื้อใบรับรองของคุณ หากคำขอใบรับรอง CSR ถูกสร้างขึ้นบนเซิร์ฟเวอร์ของคุณหรือจากผู้ให้บริการโฮสติ้งบุคคลที่สาม รหัสส่วนตัวจะอยู่บนเซิร์ฟเวอร์หรือผู้ให้บริการตามลำดับ หากคีย์ส่วนตัวสูญหาย คุณต้องดำเนินการ - ฟรี

  1. เยี่ยมชมเว็บไซต์ https://www.upik.de
  2. เลือกภาษา ภาษาอังกฤษ.
  3. คลิกที่ลิงค์ UPIKR-ค้นหาด้วยหมายเลข D-U-N-SR.
  4. ในสนาม หมายเลข D&B D-U-N-SRป้อนหมายเลข DUNS
  5. ในสนาม เลือกประเทศเลือกประเทศ
  6. บนบัตรบริษัทที่เปิดขึ้น คุณสามารถตรวจสอบหมายเลขโทรศัพท์ในช่องได้ หมายเลขโทรศัพท์.

หากมีการระบุหมายเลขโทรศัพท์ไม่ถูกต้องหรือหายไป โปรดติดต่อสำนักงานตัวแทนของรัสเซียของ DUN&BRADSTREET - บริษัท Interfax และป้อนหรือแก้ไขหมายเลขโทรศัพท์ในบัตรบริษัท หลังจากทำการเปลี่ยนแปลง หมายเลขโทรศัพท์ใน DUNS ของคุณจะปรากฏหลังจาก 7-30 วันตามปฏิทินเท่านั้น

หากต้องการเปลี่ยนรายการโดเมนที่ครอบคลุมโดยใบรับรอง คุณต้องสร้าง CSR ขึ้นมาใหม่และดำเนินการตามขั้นตอนการออกใบรับรองใหม่:

1. ในส่วน สำหรับลูกค้าใบรับรอง SSLและเลือกใบรับรองที่ต้องการ

3. หากคุณต้องการสร้าง CSR ในระหว่างขั้นตอนการสั่งซื้อ - คลิก ดำเนินการต่อหากคุณจะใช้ CSR ของคุณ ให้ป้อนในช่องที่ปรากฏขึ้น การสร้าง CSR เพื่อติดตั้งใบรับรองบน ​​Microsoft IIS มีการอธิบายไว้ในคำแนะนำแยกต่างหาก - ซึ่งจะเปิดขึ้นเมื่อคุณเลือกตัวเลือกนี้

4. ทำการเปลี่ยนแปลงรายการโดเมนแล้วคลิก ดำเนินการต่อ.

5. ป้อนข้อมูลติดต่อของคุณแล้วคลิก ดำเนินการต่อ.

6. บันทึกคีย์ส่วนตัว - คุณจะต้องใช้เพื่อติดตั้งใบรับรองบนเว็บเซิร์ฟเวอร์ คลิก ดำเนินการต่อ.

7. ตรวจสอบความถูกต้องแล้วคลิก ส่งคำสั่งซื้อ.

ใบรับรอง SSL จะออกเป็นระยะเวลา 1-2 ปี

หากองค์กรสั่งซื้อใบรับรองสำหรับโดเมนที่ไม่ได้อยู่ในองค์กรนั้น จะต้องจัดเตรียมจดหมายจากเจ้าของโดเมนที่ได้รับอนุญาตให้ออกใบรับรอง ศูนย์การรับรองจะส่งเทมเพลตจดหมายไปยังที่อยู่อีเมลติดต่อของลูกค้าใบรับรอง

ใบรับรองสามารถยืนยันการมีอยู่ของสิทธิ์การจัดการโดเมน นั่นคือสามารถรับรองได้เฉพาะโดเมนเท่านั้น ใบรับรองดังกล่าวอยู่ในหมวดหมู่ ด้วยการดูใบรับรอง DV ผู้ใช้สามารถตรวจสอบให้แน่ใจว่าเขาอยู่ในไซต์ที่มีการป้อนที่อยู่ในบรรทัดเบราว์เซอร์นั่นคือเมื่อเข้าถึงไซต์ ผู้ใช้จะไม่ถูกเปลี่ยนเส้นทางโดยผู้โจมตีไปยังแหล่งข้อมูลบนเว็บปลอม อย่างไรก็ตาม ใบรับรองไม่มีข้อมูลเกี่ยวกับใครเป็นเจ้าของไซต์ - ใบรับรองจะไม่มีข้อมูลเกี่ยวกับเจ้าของ เนื่องจากในการขอรับใบรับรอง ลูกค้าไม่จำเป็นต้องแสดงหลักฐานเอกสารเกี่ยวกับข้อมูลประจำตัวของตน ดังนั้นสิ่งเหล่านั้นจึงอาจเป็นเรื่องสมมติ (เช่น ผู้ขอใบรับรองอาจแอบอ้างเป็นบุคคลอื่น)

ใบรับรองสามารถยืนยันการมีอยู่ของสิทธิ์ในการจัดการชื่อโดเมนและการมีอยู่ขององค์กรที่มีสิทธิ์เหล่านี้ กล่าวคือ สามารถรับรองโดเมนและเจ้าของได้ ใบรับรองดังกล่าวอยู่ในหมวดหมู่ ด้วยการดูใบรับรอง OV ผู้ใช้สามารถยืนยันได้ว่าเขาอยู่ในไซต์ที่มีการป้อนที่อยู่ในบรรทัดเบราว์เซอร์จริง ๆ และยังสามารถระบุได้ว่าใครเป็นเจ้าของไซต์นี้ หากต้องการออกใบรับรองนี้ ลูกค้าจะต้องบันทึกข้อมูลประจำตัวของตน



มีคำถามหรือไม่?

แจ้งการพิมพ์ผิด

ข้อความที่จะส่งถึงบรรณาธิการของเรา:

ส่ง