Администрирование
Все про SSL

Общие сведения о типах сертификатов

9min

Платные доверенные сертификаты

Приобретение доверенных сертификатов, за исключением некоторых случаев – это платная услуга.

Где и как купить

В России чаще всего услуга SSL-сертификата предоставляется компаниями – хостингами веб-ресурсов или организациями-партнёрами международных Удостоверяющих центрах. Есть возможность приобретения сертификатов непосредственно у Удостоверяющих центров, но такие сертификаты обычно дороже, чем у партнёров, которые закупают их оптом.

Процедура покупки SSL-сертификата ничем не отличается от приобретения других Интернет-услуг. Общий порядок:

  1. Выберите поставщика и перейдите на страницу заказа SSL-сертификатов.
  2. Выберите подходящий тип SSL-сертификата и нажмите кнопку покупки.
  3. Введите имя вашего домена и выберите вариант защиты — на один домен или Wildcard-сертификат на группу поддоменов.
  4. Оплатите услугу любым удобным способом.
  5. Продолжите настройку услуги. Могут быть следующие параметры:
    1. Количество доменов, которые защищает сертификат. Один или более.
    2. Поддержка поддоменов.
    3. Скоростью выпуска. Быстрее всего выпускаются сертификаты с валидацией только домена, дольше всего выпускаются сертификаты с EV валидацией.
    4. Количество перевыпусков сертификата — у большинства Удостоверяющих неограниченно. Требуется, если допустили ошибку в данных об организации.
    5. Гарантия – для некоторых сертификатов есть гарантия от 10.000 $. Это гарантия скорее не для покупателя сертификата, а для посетителя сайта, где установлен сертификат. В случае если посетитель сайта с таким сертификатом пострадает от фрода и потеряет деньги, Удостоверяющий центр обязуется компенсировать украденные средства до суммы указанной в гарантии. На практике такие случаи крайне редки.
    6. Бесплатный тестовый период – из платных сертификатов есть у сертификатов Symantec Secure Site, Geotrust Rapidssl, Comodo Positive SSL, Thawte SSL Веб Server. Также существуют бесплатные сертификаты.
    7. Возврат средств – почти у всех сертификатов в течении 30 дней, хотя бывают и сертификаты без периода.

Примерная стоимость

Типы SSL-сертификатов подразделяются по своим свойствам.

  1. Обычные SSL-сертификаты. Данные сертификаты выпускаются мгновенно и подтверждают только одно доменное имя. Стоимость: от 20$ в год
  2. SGC сертификаты. Сертификаты с поддержкой повышения уровня шифрования. Технология Server Gated Cryptography позволяет в старых браузерах, которые поддерживали только 40 или 56 бит шифрование, повышать принудительно уровень шифрования до 128 бит. Технология решает проблему с криптографией, но не справляется с другими уязвимостями небезопасных браузеров, поэтому ряд корневых Удостоверяющих центров отказываются от данной технологии. Стоимость: от 300 $ в год.
  3. Wildcard-сертификаты Обеспечивают шифрование всех поддоменов одного домена по маске. Например, есть домен domain.com и вам нужно установить такой же сертификат на support.domain.com, forum.domain.com и billing.domain.com, можно выпустить сертификат на *.domain.com. В зависимости от количества поддоменов, на которые требуется сертификат, бывает выгодней приобрести отдельно несколько обычных SSL-сертификатов. Примеры wildcard-сертификатов: Comodo PositiveSSL Multi-Domain Wildcard и Comodo Multi-Domain Wildcard SSL Стоимость: от 180$ в год.
  4. SAN сертификаты Технология Subject Alternative Name позволяет использовать один сертификат на несколько разных доменов, размещённых на одном сервере. Такие сертификаты могут также называть UCC (англ. Unified Communication Certificate), MDC (англ. Multi-domain certificate) или EC (англ. Exchange certificate). Стандартно один SAN-сертификат включает до 5 доменов, при этом их количество можно увеличивать за дополнительную плату. Стоимость: от 395 $ в год
  5. Сертификаты c поддержкой IDN Сертификаты с поддержкой национального домена (англ. International Domain Name, такие как *.RU, *.CN, *.UK). Не все сертификаты могут поддерживать работу IDN. Следует уточнять данную возможность у Удостоверяющего центра. Сертификаты, поддерживающие IDN:
    • Thawte SSL123 Certificate;
    • Thawte SSL Веб Server;
    • Symantec Secure Site;
    • Thawte SGC SuperCerts;
    • Thawte SSL Веб Server Wildcard;
    • Thawte SSL Веб Server with EV;
    • Symantec Secure Site Pro;
    • Symantec Secure Site with EV;
    • Symantec Secure Site Pro with EV.

Как было сказано выше, партнёры Удостоверяющих центров могут предоставлять значительные скидки на цену сертификата, такие предложения могут начинаться от 10 $ либо входить в состав пакетов услуг.

Какие бывают

Сертификаты подразделяются по следующим уровням валидации:

  1. DV Domain Validation, или сертификаты с проверкой домена. Удостоверяющий центр проверяет, что клиент, запрашивающий сертификат, контролирует домен, для которого требуется выпустить сертификат, с помощью сетевого сервиса проверки принадлежности веб-ресурсов WHOIS. Данный вид сертификата самый дешёвый и популярный, но не может считаться полностью безопасным, так как содержит только информацию о зарегистрированном доменном имени в поле CN (CommonName – общее доменное имя веб-ресурса).
  2. OV Organization Validation, или сертификаты с проверкой организации. Удостоверяющий центр проверяет принадлежность коммерческой, некоммерческой или государственной организации клиенту, который должен предоставить юридическую информацию при покупке. Данный вид сертификатов считается более надёжным, так как отвечает стандартам RFC и подтверждает ещё регистрационные данные компании-владельца в полях:
    • O (Organization – наименование организации);
    • OU (OrganizationalUnit – наименование подразделения организации);
    • L (Locality – наименование населённого пункта юридического адреса организации);
    • S (StateOrProvinceName – наименование территориально-административной единицы юридического адреса организации);
    • C (CountryName – наименование страны организации).
  3. EV
    Extended Validation, или сертификат с расширенной проверкой. Удостоверяющий центр проверяет те же данные, что и OV, но в соответствии с более строгими стандартами, установленными CA/Browser Forum. CA/Browser Forum (англ. Certification Authority Browser Forum) – это добровольный консорциум центров сертификации, разработчиков интернет-браузеров и программного обеспечения для безопасной электронной почты, операционных систем и других приложений с поддержкой PKI. Консорциум публикует отраслевые рекомендации, регулирующие выпуск сертификатов и управление ими. Данный вид сертификатов считается самым надёжным. Ранее в браузерах при использовании данных сертификатов изменялся цвет адресной строки и выводилось наименование организации. Широко используется веб-ресурсами, которые проводят финансовые транзакции и требуют высокий уровень конфиденциальности. Однако многие сайты предпочитают перенаправлять пользователей для совершения платежей на внешние ресурсы, подтверждённые сертификатами с расширенной проверкой, при этом используя сертификаты OV, которых вполне хватает для защиты остальных данных пользователей

Как проходит процесс настройки (общие сведения, что такое CSR)

Для инициации выпуска сертификата должен быть создан CSR-запрос. Технически CSR-запрос – это файл, который содержит в себе небольшой фрагмент зашифрованных данных о домене и компании, на который выдаётся сертификат. Также в этом файле хранится открытый ключ.

Процедура генерации CSR полностью зависит от программного обеспечения, используемого на вашем сервере, и чаще всего производится с помощью настройки в административной панели вашего хостинга. Если ваш хостинг не предоставляет такой возможности, то можно воспользоваться онлайн-сервисами для генерации CSR запроса либо специализированным ПО, например, OpenSSL, GnuTLS, Networ Security Services и т.д. После генерации CSR будет сформирован и закрытый ключ.

Для успешной генерации CSR требуется ввести данные об организации, для которой заказывается сертификат. Информацию необходимо вводить в латинской раскладке. Достаточными являются следующие параметры:

  • Country Name — страна регистрации организации в двухбуквенном формате. Для Российской Федерации — RU;
  • State or Province Name — область, регион регистрации организации. Для Москвы — Moscow;
  • Locality Name — город регистрации организации. Для Москвы — Moscow;
  • Organization Name — название организации. Для физических лиц указывается «Private Person»;
  • Common Name — доменное имя, для которого заказывается сертификат;
  • Email Address — адрес электронной почты для связи с администратором. Допустимые значения:
    • admin@имя_домена;
    • administrator@имя_домена;
    • hostmaster@имя_домена;
    • postmaster@имя_домена;
    • вебmaster@имя_домена.

Самоподписанные сертификаты

Самоподписанные сертификаты – это SSL-сертификаты, созданные разработчиками сервиса самостоятельно. Пара ключей для них генерируется через специализированное ПО, например, OpenSSL. Такой канал связи вполне получится использовать для внутренних целей: между устройствами внутри своей сети или приложениями на этапе разработки.

Let’s Encrypt

Let’s Encrypt – Удостоверяющий центр, предоставляющий бесплатные криптографические сертификаты X.509 для шифрования передаваемых через интернет данных HTTPS и других протоколов, используемых серверами в Интернете. Процесс выдачи сертификатов полностью автоматизирован. Сервис предоставляется публичной организацией Internet Security Research Group (ISRG).

Проект Let’s Encrypt создан для перевода большей части интернет-сайтов на HTTPS. В отличие от коммерческих Удостоверяющих центров, в данном проекте не требуется оплата, переконфигурация веб-серверов, использование электронной почты и обработка просроченных сертификатов, что упрощает процессы установки и настройки TLS-шифрования. Например, на типичном веб-сервере на базе Linux требуется выполнить две команды, которые настроят HTTPS-шифрование, получат и установят сертификат примерно за 20-30 секунд.

Корневые сертификаты Let’s Encrypt установлены в качестве доверенных у основных производителей ПО, включая Microsoft, Google, Apple, Mozilla, Oracle и Blackberry.

Центр сертификации Let’s Encrypt выдаёт сертификаты DV со сроком действия в 90 дней. Сертификаты с уровнем подтверждения OV и EV не планируются. Некоторое время назад реализована поддержка Wildcard-сертификатов.

Ключ от корневого сертификата стандарта RSA с 2015 года хранится в аппаратном хранилище HSM (англ. Hardware Security Module), не подключённом к компьютерным сетям. Этим корневым сертификатом подписаны два промежуточных корневых сертификата, которые также были подписаны центром сертификации IdenTrust. Один из промежуточных сертификатов используется для выпуска конечных сертификатов сайтов, второй держится в качестве резервного в хранилище, не подключённом к Интернету, на случай компрометации первого сертификата. Поскольку корневой сертификат центра IdenTrust предустановлен в большинстве операционных систем и браузеров в качестве доверенного корневого сертификата, выдаваемые проектом Let’s Encrypt сертификаты проходят проверку и принимаются клиентами, несмотря на отсутствие корневого сертификата ISRG в списке доверенных.

Для автоматической выдачи сертификата конечному сайту используется протокол аутентификации Automated Certificate Management Environment (ACME). В этом протоколе к веб-серверу, запросившему подписание сертификата, производится серия запросов для подтверждения факта владения доменом (DV). Для получения запросов клиент ACME настраивает специальный TLS-сервер, который опрашивается сервером ACME с применением Server Name Indication (Domain Validation using Server Name Indication, DVSNI).

Валидация проводится многократно, с использованием различных сетевых путей. Записи DNS опрашиваются из множества географически распределённых мест для предотвращения атак DNS spoofing, когда данные кэша доменных имён изменяются злоумышленником с целью возврата ложного IP-адреса и переадресации посредника на ресурс злоумышленника (или любой другой ресурс в сети).

Обновлено 04 Oct 2024
Doc contributor
Doc contributor
Помогла ли вам эта страница?
ПРЕДЫДУЩИЙ
Основные сведения об SSL
СЛЕДУЮЩИЙ
Продвинутые сведения про сертификаты
Docs powered by Archbee