SSL СЕРТИФИКАТ: НАЗНАЧЕНИЕ, ОСОБЕННОСТИ, ПРИМЕНЕНИЕ

В данном разделе представлены ответы на наиболее популярные вопросы, возникающие у клиентов компании и посетителей сайта.

1. SSL — что это такое?

Аббревиатура расшифровывается как Secure Sockets Layer, что по-английски означает «уровень защищенных сокетов». В данном случае речь идет о криптографическом протоколе, который был разработан в 1996 году специалистами компании Netscape. Он обеспечивает передачу конфиденциальных сведений, которая осуществляется между клиентом и пользователем по безопасному каналу. В настоящее время SSL-протокол является наиболее востребованным способом защиты данных, передаваемых через Интернет. При использовании этой технологии клиент и сервер еще до начала сеанса связи определяют оптимальный алгоритм шифрования и общие ключи. Она поддерживается всеми современными интернет-обозревателями и операционными системами, относится к числу промышленных стандартов и задействуется миллионами веб-ресурсов для обеспечения безопасной работы пользователей Интернета. Для применения технологии на сервере должен быть установлен соответствующий SSL сертификат.

2. Что такое SSL сертификат?

Это — цифровой документ, подтверждающий надежность и конфиденциальность данных, передаваемых между сервером и клиентом. Его наличие способствует повышению уровня защиты информации. В свою очередь, это положительно скажется на имидже предприятия.

Сертификат выдается на конкретное доменное имя, включает все необходимые сведения о владельце веб-ресурса и центре сертификации, ответственном за его выдачу. Что касается информационного содержания сертификата, то оно определяется его типом. Всю эту информацию можно просмотреть в информации о сертификате, кликнув на значок замка или сокращение https в адресной строке браузера:

3. Для чего нужен SSL сертификат?

Исходя из того, что такое SSL сертификат, его наличие гарантирует:

подлинность передаваемой информации. Обмен данными клиент осуществляет именно с тем доменом, который действительно принадлежит указанному предприятию;
конфиденциальность. Вероятность перехвата информации исключена;
целостность сведений. Данные передаются в полном объеме, их изменение в процессе передачи невозможно.

Знать, что такое SSL сертификат, и иметь его должны владельцы веб-ресурсов, непосредственно работающие с конфиденциальной информацией. Обычно это — пароли, паспортные данные, пин-коды, номера телефонов и кредитных карт и т. п. Передача подобных данных по незащищенным каналам связи делает их крайне уязвимыми: высока вероятность перехвата таких сведений злоумышленниками, которые используют их для достижения корыстных целей. В связи с этим необходимо обезопасить себя и своих клиентов от подобных рисков. В любом случае веб-ресурс, защищенный SSL сертификатом, вызывает значительно больше доверия у пользователей.

4. Как правильно выбрать сертификат SSL?

Существует несколько типов SSL сертификатов. Общая классификация представлена на изображении ниже:

SSL-cert-types

Так, продукты, что обеспечивают исключительно шифрование данных (без подтверждения бизнес-статуса), называются Domain Validation SSL (c проверкой домена). Они относятся к начальному уровню, в связи с чем отличаются выгодной ценой и скоростью выпуска. Приобретать их могут частные лица и организации, при этом не требуется представление никаких документов.

Следующий тип сертификатов — Organization Validation SSL (c проверкой организации) — рекомендуется для применения небольшими онлайн-магазинами и прочими коммерческими веб-ресурсами с целью подтверждения того, что информация передается в том виде и объеме, в котором она была отправлена, и обеспечения безопасности совершаемых денежных транзакций. Наличие Organization Validation SSL гарантирует надежность и полную легитимность деятельности компании, при этом подтверждая ее бизнес-статус. Такие сертификаты приобретаются только юридическими лицами после предоставления необходимых сведений о предприятии.

Крупным финансовым структурам рекомендуется приобретать Extended Validation Certificates — SSL сертификаты расширенной проверки. Это — самый надежный тип, выдаваемый только юридическим лицам и лишь после углубленной проверки легальности их деятельности. Их особенность заключается в наличии специальных индикаторов — зеленой адресной строки и названия организации в ней.

Для защиты конфиденциальной информации сразу нескольких разделов сайта хорошим вариантом являются Wildcard SSL — сертификаты с поддержкой поддоменов. С их помощью обеспечивается безопасность требуемого количества субдоменов третьего уровня, они доступны для приобретения частными лицами и организациями.

Обеспечить эффективную защиту сразу нескольких доменных имен и поддоменов можно с помощью Multidomain или SAN SSL — мультидоменных сертификатов. Это избавляет от необходимости приобретения нескольких одиночных продуктов, вместо них можно купить один общий. Это выгодно по деньгам и времени, такие сертификаты доступны частным и юридическим лицам.

5. Что такое SSL сертификат для IP-адреса и как его получить?

Он был доступен ранее, однако с ноября 2014 года центры сертификации прекратили выпуск сертификатов SSL для IP-адресов.

6. Каким образом можно получить сертификат SSL для локального домена?

К сожалению, в настоящее время такой возможности нет. С 2014 года центры сертификации прекратили выдачу SSL сертификатов для локальных доменов. Теперь для получения SSL сертификата необходимо перевести Ваше доменное имя в FQDN-домен (например, billing.local теперь должен выглядеть как billing.domain.uz).

Это также касается UCC сертификатов для Exchange почтовых серверов.

7. Что необходимо для получения сертификата SSL?

Порядок действий зависит от специфики ситуации. Во всех случаях необходимо:

выбрать подходящий тип и оформить заказ;
сформировать CSR запрос на получение сертификата (подробнее о нем рассказывается ниже) и ввести технические данные домена;
указать административный e-mail на домене, которому требуется защита. Возможные варианты: admin@, administrator@, hostmaster@, webmaster@ или postmaster@. Допускается использование другого адреса, если на него зарегистрирован домен и если он указан в whois-записи о домене:

На указанный e-mail центр сертификации вышлет письмо со ссылкой, по которой следует перейти, чтобы подтвердить домен.

Для сертификатов с проверкой компании и расширенной проверкой:

предоставить номер ИНН / ОГРН или выписку из ЕГРЮЛ;
предоставить запись на dnb.com с актуальным номером телефона, или добавить его в Выписку из ЕГРЮЛ, или предоставить письмо с данными о компании, заверенное у нотариуса.. На этот номер Вам перезвонят из центра сертификации с целью подтверждения заказа.

Только для сертификатов SSL с расширенной проверкой EV SSL:

заполнить заявку на получение и заключить договор с центром сертификации. Необходимая документация будет выслана после оформления заказа;
ответить на звонок для валидации. Отличие от п. 5 заключается в том, что с Вами будет разговаривать специалист центра сертификации, который пригласит к телефону человека, подписавшего договор (чаще всего это — генеральный директор), а также сотрудника кадровой службы — для подтверждения должности заказчика.

Имейте в виду, что наименование и адрес компании должны быть идентичными в выписке из ЕГРЮЛ, заказе, источнике с номером телефона и whois-записи о домене (при отсутствии адреса проверяется совпадение названия компании).

8. Что делать при отсутствии административного e-mail?

Ключевым условием выдачи сертификата SSL является подтверждение получателем прав доступа к домену. Самый простой способ для этого — использование e-mail.

При отсутствии административного электронного адреса некоторые центры сертификации (например, Comodo) осуществляют выдачу сертификатов с использованием альтернативных методов валидации.

9. Что такое CSR и как сформировать CSR запрос для получения SSL сертификата?

Аббревиатура CSR переводится как «запрос на получение сертификата» (Certificate Signing Request). В нем содержатся все необходимые сведения о домене и предприятии в зашифрованном виде. Вместе с ним генерируется закрытый ключ (private key), который следует сохранить в безопасном месте и не предоставлять третьим лицам. Эти файлы выглядят так:

csr-private-key