Deoarece vindem toate tipurile de certificate, am acumulat o anumită experiență în certificatele și cunoștințele despre alegerea certificatului potrivit pentru o anumită situație. Voi încerca să împărtășesc aceste informații în mai multe posturi.
Deci, dacă aveți o sarcină pentru a ridica o conexiune https sigură pentru site-ul dvs., atunci în acest post voi încerca să dezvăluie toate subtilitățile și caracteristicile certificatelor SSL pentru a face alegerea corectă mai ușoară.
Să începem cu cele mai comune certificate SSL.
Certificatele SSL sunt cel mai frecvent tip de certificate pe Internet în acest moment. Cel mai adesea ele sunt utilizate în magazinele online, adică pe site-urile unde există o funcție de comandă și în care clientul introduce datele sale personale. Pentru a ne asigura că aceste date în momentul transferului de la browser către server nu au putut fi interceptate, se utilizează un protocol HTTPS special, care criptează toate datele transmise.
Pentru a activa capacitatea de a lucra cu protocolul HTTPS, aveți nevoie de certificate SSL digitale (de asemenea, aveți nevoie de IP dedicat pentru un anumit site).
Ce este un certificat SSL?
SSL este o abreviere a Secure Socket Layer, o tehnologie standard de securitate Internet care este utilizată pentru a furniza o conexiune criptată între un server web (site) și un browser. Certificatul SSL ne permite să folosim protocolul https. Aceasta este o conexiune securizată care asigură faptul că informațiile care sunt transmise de la browserul dvs. la server rămân private; care este protejat de hackeri sau de oricine dorește să fure informații. Unul dintre cele mai frecvente exemple de utilizare a SSL este protecția clientului în timpul unei tranzacții online (cumpărare de bunuri, plată).
Cum obțin un certificat SSL?
Cea mai simplă și mai liberă cale este să utilizați un așa-numit certificat auto-semnat, care poate fi generat direct pe serverul web. Apropo, în toate cele mai populare panouri de administrare de găzduire (Cpanel, ISPmanager, Directadmin), această opțiune este disponibilă implicit, prin urmare vom omite partea tehnică a procesului de creare a certificatului.
În plus, un certificat cu auto-semnare este prețul său, sau mai degrabă absența acestuia, deoarece nu plătiți un ban pentru un astfel de certificat. Dar din dezavantaje - aceasta este faptul că un astfel de certificat toate browserele va da o eroare, cu un avertisment că site-ul nu este verificat.
Aceasta este pentru scopuri de afaceri și pentru uz intern astfel de certificate sunt adecvate, dar pentru site-urile publice, și chiar mai mult pentru site-urile care vând servicii, astfel de certificate sunt contraindicate. Judeca pentru tine, vrei ca clientul tău să vadă această eroare pe tot ecranul atunci când comandă un serviciu? După cum arată practica, majoritatea clienților, astfel de pagini introduc într-o stupoare și descurajează dorința de a continua ordinea în continuare.
De ce browserele emite un astfel de avertisment pentru certificatele auto-semnate și cum să le evitați? Pentru a răspunde la această întrebare, va fi necesar să se spună câteva lucruri despre principiile funcționării certificatelor SSL.
Cum funcționează certificatul SSL?
Deci, pentru a obține certificatul SSL, primul lucru de făcut este să creați o cerere specială de emitere a certificatului, așa-numita (Cerere de semnare a certificatului). Când creați această solicitare, vi se va pune o serie de întrebări pentru a clarifica detaliile despre domeniul dvs. și compania dvs. După finalizare, serverul dvs. web va crea 2 tipuri de chei criptografice - o cheie privată și o cheie publică.
Cheia publică nu este secretă și este plasată în cererea CSR.
Iată un exemplu de astfel de interogare:
-----ÎNCERCĂ CERTIFICAT CERERE -----
MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAlVBMQ0wCwYDVQQIEwRLaWV2MQ0wCwYD
VQQHEwRLaWV2MRQwEgYDVQQKEwtIb3N0QXV0b21hdDEQMA4GA1UECxMHaG9zdGlu
ZzEmMCQGCSqGSIb3DQEJARYXc3VwcG9ydEBob3N0YXV0b21hdC5jb20xHDAaBgNV
BAMTE3d3dy5ob3N0YXV0b21hdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
ggEKAoIBAQDTg7iUv / iX + SyZl74GcUVFHjFC5IqlTNEzWgLWrsSmxGxlGzXkUKid
NyXWa0O3ayJHOiv1BSX1l672tTqeHxhGuM6F7l5FTRWUyFHUxSU2Kmci6vR6fw5c
cgWOMMNdMg7V5bMOD8tfI74oBkVE7hV95Ds3c594u7kMLvHR + xui2S3z2JJQEwCh
mflIojGnSCO / iv64RL9vjZ5B4jAWJwrruIXO5ILTdis41Z1nNIx3bBqkif0H / G4e
O5WF6fFb7etm8M + d8ebkqEztRAVdhXvTGBZ4Mt2DOV / bV4e / ffmQJxffTYEqWg8w
b465GdAJcLhhiSaHgqRzrprKns7QSGjdAgMBAAGgADANBgkqhkiG9w0BAQUFAAOC
AQEAuCfJKehyjt7N1IDv44dd + V61MIqlDhna0LCXH1uT7R9H8mdlnuk8yevEcCRI
krnWAlA9GT3VkOY3Il4WTGg3wmtq6WAgLkVXQnhIpGDdYAflpAVeMKil8Z46BGIh
KQGngL2PjWdhMVLlRTB / 01nVSKSEk2jhO8 + 7yLOY1MoGIvwAEF4CL1lAjov8U4XG
NfQldSWT1o8z9sDeGsGSf5DAXpcccx0gCyk90HFJxhbm / vTxjJgchUFro / 0goVpB
crepKxtkwBMuCzeSyDnkQft0eLtZ9b9Q4 + ZNDWsPPKxo / zWHm6Pa / 4F4o2QKvPC
Px9x4fm + / xHqkhkR79LxJ + EHzQ ==
-----END CERTIFICAT CERERE -----
Datele conținute în această cheie pot fi ușor verificate utilizând serviciile Decodorului CSR. Ca un exemplu: Decoder CSR 1 sau CSR Decodor 2. Al doilea serviciu oferă mai multe informații despre CSR și verifică validitatea email, câmpul de semnătură în rezultatele testului.
Dacă introducem o astfel de solicitare în formularul de decriptare, vom vedea ce date sunt conținute în cheia publică.
Informații CSR:
Nume obișnuit: tuthost.ua este un nume de domeniu pe care îl protejăm cu un astfel de certificat
Organizație: TutHost - numele organizației căreia îi aparține domeniul
Unitate de organizare: departament de gazduire
Localitate: Kiev - orașul în care se află sediul organizației
Statul: Kiev - zonă sau stat
Țară: UA - cod din două litere, țara în care se află.
Email: [email protected] - e-mail de contact tehnic sau tehnic de contact
Punctul important - acordați atenție domeniului Țară - formatul acestui câmp implică numai codul de două litere conform standardului ISO 3166-1, dacă nu sunteți sigur de codul țării dvs., puteți verifica aici: tabelul ISO-3166-1. Am atenție la acest domeniu, deoarece cea mai frecventă greșeală pe care o au clienții noștri atunci când generează o solicitare de CSR este codul de țară greșit. Și, ca o consecință, este imposibil să se producă un certificat cu un astfel de CSR.
După generarea CSR, puteți continua cu emiterea certificatului. În timpul acestui proces, CA (Autoritatea de Certificare) va verifica datele pe care le-ați introdus și după ce verificarea cu succes va emite un certificat SSL împreună cu datele dvs. și vă va permite să utilizați SSL. Serverul dvs. se va potrivi automat cu certificatul emis, cu cheia privată generată. Aceasta înseamnă că sunteți gata să furnizați o conexiune criptată și sigură între site-ul dvs. și browser-ul clientului.
Ce sunt AC-urile?
Aceasta este o organizație care are dreptul de a emite certificate digitale. Acesta verifică datele conținute în CSR înainte de a emite certificatul. În cele mai simple certificate, doar verificarea numelui de domeniu este verificată, în cele mai scumpe, un număr de verificări sunt efectuate de organizația însăși, care solicită un certificat. Vom vorbi despre asta mai jos.
Astfel, diferența dintre certificatele gratuite și cele plătite de autoritatea de certificare este că datele din certificat sunt verificate de autoritatea de certificare, iar atunci când utilizează acest certificat pe site-ul dvs., vizitatorul dvs. nu va vedea niciodată o eroare mare pe întregul ecran.
După cum vedem, cel mai mare jucător pe piața certificatelor SSL este Symantec, care deține trei dintre cele mai mari centre de certificare - Thawte, Verisgin și Geotrust.
Există vreo diferență în care autoritatea de certificare să comande un certificat?
Diferența principală dintre diferitele centre de certificare este în prețul certificatelor și în câte browsere este instalat certificatul de root. La urma urmei, dacă browserul nu are certificatul rădăcină al acestei autorități de certificare, atunci un vizitator cu un astfel de browser va primi în continuare o eroare la accesarea site-ului cu un certificat dintr-un astfel de centru.
În ceea ce privește centrele de certificare de mai sus, certificatele lor de bază sunt instalate în 99,99% din toate browserele existente.
Pentru a verifica ce certificate de root sunt instalate în browserul dvs., este suficient să găsiți o astfel de opțiune în setările browserului. (În Setările Chrome -> Afișați setările avansate -> Gestionarea certificatelor -> Autorități de certificare a principalelor certificate de încredere). În Chrome sunt instalate mai mult de 50 de astfel de certificate rădăcină.
Un punct important - adesea clienții au avut o situație când un certificat SSL pe server este instalat, dar când accesați site-ul browser-ul oferă în continuare o eroare. Această situație poate apărea fie din cauza lipsei certificatului rădăcină al centrului emitentului certificatului din fișierul ca-bundle.crt, fie din cauza faptului că certificatul rădăcină este depășit. Certificatele de bază au, de asemenea, perioada de valabilitate (în browsere acestea sunt actualizate când browserul este actualizat).
GeoTrust Certificate SSL
Thawte Certificatele SSL
Certificatele SSL VeriSign
Nu este profitabil să cumperi certificate direct de la centre de certificare, deoarece prețul pentru utilizatorii finali este mult mai mare decât pentru parteneri, în plus, dacă trebuie să închizi o astfel de achiziție în contabilitate, acest lucru va fi, de asemenea, dificil. Este cel mai profitabil să cumpărați astfel de certificate prin intermediul partenerilor. Partenerii cumpără certificate în vrac și au prețuri speciale, ceea ce le permite să vândă certificate mult mai ieftine decât direct în centrul de certificare.
Deci, am ajuns foarte aproape de tipurile de certificate SSL.
Ce tipuri de certificate SSL există?
Certificatele diferă în ceea ce privește calitatea și nivelul de valabilitate.
Tipuri de certificate după tipul de validare
- Certificate, confirmate numai de un nume de domeniu (Domain Validation - DV).
- Certificate care confirmă domeniul și organizația (Validarea organizației - OV).
- Certificate, cu verificare extinsă (Extendet Validation - EV).
Vom trata cu ei în ordine:
Certificate care confirmă numai domeniul
Acestea sunt cele mai simple certificate, este alegerea dvs. dacă aveți nevoie de un certificat de urgență, deoarece acestea sunt emise automat și instantaneu.
La verificarea unui astfel de certificat este trimisă o scrisoare cu un link special, pe care trebuie să faceți clic pentru a confirma emiterea certificatului.
Un alt punct important: uneori, certificatele cu eliberare instantanee intră pe teste manuale suplimentare de către Autoritatea de Certificare, iar certificatele de verificare sunt alese la întâmplare. Deci, merităm să ne amintim că există o mică șansă ca certificatul dvs. să nu fie eliberat imediat.
Certificatele SSL cu validare de domeniu sunt emise atunci când autoritatea de certificare a verificat că solicitantul are drepturi asupra numelui de domeniu specificat. Verificarea informațiilor despre organizație nu este efectuată și nu sunt afișate informații despre organizație în certificat.
Certificate cu validarea organizației.
Un astfel de certificat va indica deja numele organizației. Un astfel de certificat nu poate fi obținut de către o persoană fizică. Termenul de emitere a acestor certificate este de obicei de la 3 la 10 zile lucrătoare, depinde de autoritatea de certificare.
Procesul de emitere a certificatelor OV
După primirea cererii de emitere a certificatului împreună cu verificarea organizației, autoritatea de certificare verifică dacă organizația există, așa cum este specificată în CSR, și dacă aparține domeniului specificat.
Ce este verificat în astfel de cazuri?
Pentru diferite autorități de certificare, verificarea este oarecum diferită, așa că vă voi oferi o listă generală de elemente care pot fi verificate sau solicitate:
Certificate cu verificare extinsă.
Așa arată pe site-ul Thawte.
Aceste certificate au cel mai înalt nivel de încredere, printre vizitatorii avansați ai site-ului dvs., deoarece certificatul indică faptul că compania există într-adevăr, a fost testată temeinic și site-ul este deținut de acesta.
O listă a exact ceea ce va fi verificată este aceeași ca și pentru certificatele cu verificarea organizației.
Certificatele EV sunt utilizate pentru toate tipurile de afaceri, inclusiv pentru organizațiile de stat și non-profit. Este nevoie de 10-14 zile pentru a emite.
A doua parte a regulilor este relevantă pentru autoritatea de certificare și descrie criteriile pe care trebuie să le îndeplinească autoritatea de certificare înainte de a emite un certificat EV. Se numește, reguli de audit EV, iar în fiecare an există un test pentru respectarea acestor reguli.
Tipuri de certificate SSL după proprietățile lor.
Certificate comune SSL
Totul este clar, acestea sunt certificate care sunt emise automat și sunt confirmate numai de domeniu. Potrivit pentru toate site-urile.
Preț: de la 20 USD pe an
Certificatele SGC
Certificate cu suport pentru creșterea nivelului de criptare. Actual pentru browsere foarte vechi, care acceptă doar criptare de 40 sau 56 de biți. Când se utilizează acest certificat, nivelul de criptare este forțat la 128 de biți.
Pentru totdeauna nu am cumpărat mai mult de un astfel de certificat. Opinia mea este că nu mai sunt necesare, cu excepția utilizării interne în marile corporații, unde se păstrează fier vechi.
Preț: de la 300 $ pe an.
Coduri Wildcard
Dacă aveți nevoie să furnizați criptare și în toate subdomeniile aceluiași domeniu, pe lângă domeniul principal, aveți nevoie de el. De exemplu: există un domeniu domain.com și trebuie să instalați același certificat pe domenii support.domain.com, forum.domain.com și billing.domain.com
Sfat: numărați numărul de subdomenii pentru care aveți nevoie de un certificat, uneori este mai profitabil să cumpărați mai multe certificate ordinare separat.
Preț: de la 180 $ pe an. După cum puteți vedea, dacă aveți mai puțin de 9 subdomenii, este mai ieftin să cumpărați un certificat obișnuit, deși unul va fi mai convenabil de utilizat decât un wildcard.
Certificatele SAN
Este util dacă doriți să utilizați un certificat pentru mai multe domenii găzduite pe același server. În mod tipic, acest certificat include 5 domenii și numărul lor poate fi mărit în trepte de 5.
Preț: de la 395 $ pe an
Certificatele EV
Acestea sunt aceleași certificate cu validare extinsă și linia verde din browser, despre care am vorbit mai sus. Acestea pot fi obținute numai de o entitate juridică, comercială, nonprofit sau organizație de stat.
Preț: de la 250 USD pe an.
Certificate cu suport IDN
De regulă, nu toate CA au această opțiune în descrierea certificatului, dar nu toate certificatele sunt acceptate cu domenii IDN. Prin urmare, dau aici o listă de certificate care au un astfel de suport:
- Thawte Certificat SSL123
- Thawte SSL Web Server
- Site-ul Symantec Secure
- Thawte SGC SuperCerts
- Thawte SSL Web Server Wildcard
- Thawte SSL Web Server cu EV
- Symantec Secure Site Pro
- Site-ul Symantec Secure cu EV
- Symantec Secure Site Pro cu EV
Cum sa alegi cel mai ieftin certificat?
Geotrust are cele mai ieftine certificate SAN. Certificatele cu validare numai a site-ului, precum și wildcard, sunt cele mai avantajoase pentru RapidSSL. Certificatele EV sunt, de asemenea, cele mai ieftine pentru Geotrust. Certificatele SGC sunt disponibile numai de la Thawte și Verisign, dar Thawte este mai ieftină.
Ce altceva sunt certificatele diferite de la celelalte?
- Viteza de eliberare. Certificatele cu validarea numai a domeniului, cel mai lung cu validare EV, sunt emise cel mai rapid, de la 7 zile lucrătoare.
- Numărul de re-emiteri ale certificatului este nelimitat pentru majoritatea centrelor de certificare. Obligatoriu dacă a fost comisă o eroare în organizație.
- Garanție - pentru unele certificate există o garanție de 10.000 $. Aceasta este o garanție nu pentru cumpărătorul certificatului, ci pentru vizitatorul site-ului unde este instalat certificatul. În cazul în care un vizitator al unui site cu un astfel de certificat suferă de fraudă și pierde bani, autoritatea de certificare este de acord să le compenseze pentru suma specificată în garanție. Aceasta înseamnă că autoritatea de certificare oferă o garanție pentru certificatele sale și că acestea nu pot fi instalate în domeniul "stâng". În practică, un astfel de caz nu este cunoscut de mine, astfel încât acest parametru poate fi ignorat.
- Perioada de încercare gratuită - din certificatele plătite, au un sit securizat symantec, serverul rapid, comodo ssl, serverul web thawte ssl. De asemenea, puteți folosi certificate gratuite pentru teste: StartSSL ™ Free
- Rambursări - există aproape toate certificatele în termen de 30 de zile, deși există și certificate fără o perioadă de returnare
Utilități utile:
În următoarele părți voi încerca să vă spun despre alte tipuri de certificate.