Что такое SSL-сертификат и зачем он нужен

Secure Sockets Layer (SSL) - это протокол безопасности, который используется веб-браузерами и веб-серверами для защиты данных пользователей при их передаче в сети Интернет. Он гарантирует безопасное соединение между сервером и браузером пользователя.

Сертификаты SSL представляют собой небольшие файлы данных, которые связывают ключ шифрования с данными организации (или физического лица, в случае, если сертификат SSL выпускается на данные физического лица). При просмотре сайтов в веб-браузере SSL-сертификат обеспечивает безопасное соединение между веб-сервером и браузером, о чем свидетельствует наличие значка закрытого "зеленого" замка в адресной строке и префикса "https", с которого начинается адрес страницы.

В первую очередь SSL-сертификат необходим интернет-магазинам, банкам, платежным системам и другим организациям, работающим с персональными данными, для защиты транзакций и предотвращения несанкционированного доступа к информации. Кроме того, сайты с SSL-сертификатами имеют преимущество в поисковой выдаче.

Среди основных функций SSL-сертификата можно выделить следующие:

• Защита данных пользователя во время их передачи (операции по банковской карте, передача авторизационных данных для входа и др.).
• Связь ключа шифрования с данными организации.
• Проверка подлинности организации и/или домена.

Сертификаты SSL необходимо использовать всем, кто хочет осуществлять безопасную передачу информации в интернете. Решения с поддержкой SSL используются не только для защиты операций по кредитным картам, но и для безопасного обмена всеми видами конфиденциальной информации в сети Интернет.  

Наверх

Виды SSL-сертификатов и их особенности

Наша компания предоставляет сертификаты, выпускаемые центром сертификации Comodo, а также бесплатные сертификаты, выпускаемые некоммерческим центром сертификации Let's Encrypt.

Сертификаты Positive SSL, Positive SSL Wildcard и Let's Encrypt являются сертификатами с проверкой домена (DV), которые подтверждают подлинность доменного имени. Они не содержат информации о компании и могут быть оформлены на физическое лицо. 

Сертификат EV SSL - сертификат расширенной валидации; он подтверждает подлинность доменного имени и его принадлежность определенной организации. EV SSL оформляется на юридическое лицо - организацию, являющуюся администратором домена. 

Comodo

Заказ сертификатов Comodo производится через нашего партнера по регистрации доменных имен - компанию Public Domain Registry.

Comodo Positive SSL - сертификат, выпуск которого занимает минимум времени, служит для обеспечения защищенного с помощью шифрования соединения. Работает только с одним именем и устанавливается только на домен или поддомен.

Comodo Positive SSL Wildcard - этот вид сертификата будет работать на домене и всех поддоменах одного домена. Имеет упрощенную процедуру проверки при выпуске. Срок выпуска сертификата составляет несколько часов.

EV SSL - при выпуске данного сертификата производится расширенная проверка организации со стороны Comodo и могут быть запрошены дополнительные сведения. После установки EV SSL адресная строка сайта окрашивается в зеленый цвет и содержит название компании, для которой он был выпущен. Срок выпуска сертификата составляет несколько дней.

Особенности данных сертификатов:

• Совместимость практически со всеми браузерами.
• Обеспечивают 128 или 256-битное шифрование.
• Поддержка национальных доменов (IDN).
• Поддержка стандартов TLS 1.2 и X.509v3.
• Длина ключа 2048 бит.
• После окончания срока действия сертификат можно продлить в течение 30 дней.

Let's Encrypt 

Let's Encrypt - бесплатный сертификат, выпускаемый на срок 90 дней. Сертификат работает только с одним именем и устанавливается только на домен или поддомен.

Let's Encrypt предоставляется только на тарифных планах виртуального хостинга (Year+, Optimo+, Century+, Millennium+, 1Сайт, Eterno, Premium).

Для успешной установки Let's Encrypt должны быть соблюдены несколько условий:

1. Домен зарегистрирован. 
   Невозможно выпустить сертификат для несуществующего домена. Зарегистрировать домен можно в разделе "Домены и поддомены".
2. Домен делегирован на наш сервер, для него указаны корректные A- и AAAA-записи.
   A-запись домена должна соответствовать IP-адресу сервера, где размещен сайт (IP указан на главной странице панели управления). В качестве AAAA-записи домена должен быть указан IPv6-адрес сервера: для применения этой настройки поле "AAAA-запись" в настройках DNS можно просто оставить пустым.  
3. Домен привязан к директории сайта. 
   Привязку домена можно проверить в разделе "Сайты" панели управления.
4. Домен не отображает ошибок. 
   При обращении по домену сайт должен открываться корректно. Если в работе сайта фиксируются ошибки (4xx, 5xx), сертификат не может быть выпущен. Проверьте работу сайта и обратитесь в службу поддержки, если вам нужна консультация по устранению ошибок.
5. Для домена не настроены какие-либо перенаправления. 
   Это касается как настроек в разделе "Сайты" панели управления, так и перенаправлений, заданных через .htaccess.

Также ошибка установки сертификата может возникнуть, если недоступен так называемый "проверочный путь". При выпуске сертификата создается проверочный файл, который размещается по пути /директория_сайта/public_html/.well-known/acme-challenge/. Однако настройки отдельных web-приложений могут запрещать размещение файлов по такому пути. В этом случае в панели управления в статусе сертификата будет выведено сообщение "Ошибка". Для устранения проблемы необходимо обратиться в службу поддержки.

Наверх

Управление SSL-сертификатами

Заказ и установка сертификата

Для пользователей VDS заказ сертификатов осуществляется в разделе "Лицензии и сертификаты". Подробнее процесс заказа SSL в панели vds.timeweb.ru описан здесь.

Для клиентов виртуального хостинга заказ доступен в разделе "SSL-сертификаты ".

Нажмите на ссылку "Заказать" и выберите нужный тип сертификата и домен, для которого производится заказ.

Для заказа сертификата Let's Encrypt достаточно только указания домена. Отметьте чекбокс "Я согласен с правилами предоставления услуги" и нажмите кнопку "Установить". Сертификат будет выпущен и установлен в течение 1-2 часов; дополнительных подтверждений не требуется. Перед заказом убедитесь, что выполнены все необходимые условия для успешной установки Let's Encrypt.

Для заказа одного из сертификатов Comodo потребуется указать администратора - его данные должны совпадать с данными администратора, на которого зарегистрирован домен. Для EV SSL администратором домена должно быть юридическое лицо.

На домене, для которого заказывается сертификат, обязательно должен быть создан почтовый ящик с именем admin, administrator, hostmaster, webmaster или postmaster, на который придет письмо для подтверждения заказа SSL. 

Далее выберите способ оплаты (с баланса аккаунта или отдельным платежом), отметьте чек-бокс "Я согласен с правилами предоставления услуги" и нажмите кнопку "Установить" (или "Заказать").

Последующий процесс обработки заказа будет отличаться в зависимости от типа сертификата:

• Comodo Positive SSL
  После поступления оплаты и подтверждения заказа сертификат будет автоматически выпущен и установлен в течение нескольких часов. 
• Comodo Positive SSL Wildcard
  После поступления оплаты и подтверждения заказа, на указанный при заказе ящик придет письмо с zip-архивом, содержащим файлы сертификата. Данный архив необходимо передать специалистам нашей службы поддержки, после чего мы установим сертификат в течение 1-2 часов.
• Comodo EV SSL
  При выпуске данного сертификата производится расширенная проверка организации со стороны Comodo и могут быть запрошены дополнительные сведения. Срок выпуска сертификата может занимать до 10 дней.
  После того как необходимая валидация будет пройдена, на указанный при заказе ящик придет письмо с zip-архивом, содержащим файлы сертификата. Данный архив необходимо передать специалистам нашей службы поддержки, после чего мы установим сертификат в течение 1-2 часов.

Установка стороннего сертификата

Для установки сертификата, приобретенного у другого провайдера, необходимо:

• заказать дополнительный IP-адрес (зачем нужен дополнительный IP, см. здесь);
• привязать новый адрес к домену (см. Настройка доп. IP после заказа);
• если домен делегирован на сторонние NS-серверы - на стороне провайдера NS-сереров указать в качестве A-записи домена новый IP-адрес;
• отправить в службу поддержки запрос на установку сертификата, приложив к нему файлы: сертификат, ключ от сертификата без пароля и цепочку корневых сертификатов Центра Сертификации, выдавшего SSL (не требуется для самоподписных сертификатов).

Установка будет выполнена нашими специалистами в течение 1-2 часов.

Продление сертификата

Бесплатные сертификаты Let's Encrypt продлеваются автоматически за две недели до даты истечения.

Уведомления о необходимости продления сертификатов Comodo будут отправлены на контактный ящик аккаунта. В панели управления появится опция продления - кнопка . Она будет доступна за 30 дней до истечения срока действия сертификата и в течение 30 дней после. 

Для продления сертификата также необходимо наличие ящика с именем admin, administrator, hostmaster, webmaster или postmaster, чтобы подтвердить продление SSL.

При продлении оставшиеся дни текущего сертификата будут добавлены к сроку действия нового.

Наверх

Информация, которую может содержать и подтверждать SSL-сертификат

SSL-сертификат содержит следующую информацию:

• доменное имя, на которое оформлен SSL-сертификат;
• данные лица, на имя которого выпущен сертификат;
• физическое местонахождение владельца сертификата (город, страна);
• срок действия сертификата;
• реквизиты компании-поставщика SSL-сертификатa.

Наверх

Проверка сертификата

Проверить SSL-сертификат (установлен или не установлен, какие данные были указаны при его заказе) можно с помощью различных инструментов, например, на сайте Symantec или SSL Shopper. 

Также можно проверить соответствие сертификата и ключа;

Наверх

Зачем нужен выделенный IP-адрес для установки SSL?

Установка SSL-сертификатов на виртуальном хостинге осуществляется на выделенный IP-адрес (используются только IPv4). Исключение составляет Let's Encrypt, который устанавливается на IP-адрес сервера, указанный для домена (однако при наличии выделенного IP сертификат по умолчанию будет установлен на него).

В начале работы по протоколу https браузер устанавливает защищенное соединение с web-сервером. Только после установки защищенного соединения браузер может запросить страницу конкретного сайта по протоколу http. Чтобы при запросе к сайту выдавался правильный SSL-сертификат (принадлежащий запрашиваемому домену), необходимо, чтобы данный сайт либо обслуживался на отдельном IP-адресе, либо на отдельном порте сервера. Мы предоставляем работу с SSL-сертификатами Comodo на основе выделенного IP-адреса.

Наверх

Особенности использования сертификата Comodo Positive SSL Wildcard

Сертификаты SSL Wildcard, работающие на домене и всех его поддоменах, в рамках нашей системы устанавливаются на конкретную директорию. Соответственно, для корректной работы сайта при использовании такого типа сертификата необходимо выполнение следующих условий:

• все поддомены должны быть привязаны к директории, на которую установлен сертификат;

• файлы сайтов, размещенных на поддоменах, должны быть загружены в подпапки в основной директории сайта;

• в файле .htaccess должно быть настроено перенаправление в нужную поддиректорию при обращении по поддомену. Пример директивы:

Наверх