SSL-сертификаты

Что такое SSL-сертификат и зачем он нужен

Secure Sockets Layer (SSL) - это протокол безопасности, который используется веб-браузерами и веб-серверами для защиты данных пользователей при их передаче в сети Интернет. Он гарантирует безопасное соединение между сервером и браузером пользователя.

Сертификаты SSL представляют собой небольшие файлы данных, которые связывают ключ шифрования с данными организации (или физического лица, в случае, если сертификат SSL выпускается на данные физического лица). При просмотре сайтов в веб-браузере SSL-сертификат обеспечивает безопасное соединение между веб-сервером и браузером, о чем свидетельствует наличие значка закрытого "зеленого" замка в адресной строке и префикса "https", с которого начинается адрес страницы.

В первую очередь SSL-сертификат необходим интернет-магазинам, банкам, платежным системам и другим организациям, работающим с персональными данными, для защиты транзакций и предотвращения несанкционированного доступа к информации. Кроме того, сайты с SSL-сертификатами имеют преимущество в поисковой выдаче.

Среди основных функций SSL-сертификата можно выделить следующие:

• Защита данных пользователя во время их передачи (операции по банковской карте, передача авторизационных данных для входа и др.).
• Связь ключа шифрования с данными организации.
• Проверка подлинности организации и/или домена.

Сертификаты SSL необходимо использовать всем, кто хочет осуществлять безопасную передачу информации в интернете. Решения с поддержкой SSL используются не только для защиты операций по кредитным картам, но и для безопасного обмена всеми видами конфиденциальной информации в сети Интернет.  

Наверх

Виды SSL-сертификатов и их особенности

Наша компания предоставляет сертификаты, выпускаемые центром сертификации Sectigo (бывший Comodo), а также бесплатные сертификаты, выпускаемые некоммерческим центром сертификации Let's Encrypt.

Сертификаты Positive SSL, Positive Wildcard SSL и Let's Encrypt являются сертификатами с проверкой домена (DV), которые подтверждают подлинность доменного имени. Они не содержат информации о компании и могут быть оформлены на физическое лицо. 

Сертификат EV SSL - сертификат расширенной валидации; он подтверждает подлинность доменного имени и его принадлежность определенной организации. EV SSL оформляется на юридическое лицо - организацию, являющуюся администратором домена. 

Sectigo

Заказ сертификатов Sectigo производится через нашего партнера по регистрации доменных имен - компанию Public Domain Registry.

Sectigo Positive SSL - сертификат, выпуск которого занимает минимум времени, служит для обеспечения защищенного с помощью шифрования соединения. Работает только с одним именем и устанавливается только на домен или поддомен.

Sectigo Positive Wildcard SSL - этот вид сертификата будет работать на домене и всех поддоменах одного домена. Имеет упрощенную процедуру проверки при выпуске. Срок выпуска сертификата составляет несколько часов.

EV SSL - при выпуске данного сертификата производится расширенная проверка организации со стороны Sectigo и могут быть запрошены дополнительные сведения. После установки EV SSL адресная строка сайта окрашивается в зеленый цвет и содержит название компании, для которой он был выпущен. Срок выпуска сертификата составляет несколько дней.

Особенности данных сертификатов:

• Совместимость практически со всеми браузерами.
• Обеспечивают 128 или 256-битное шифрование.
• Поддержка национальных доменов (IDN).
• Поддержка стандартов TLS 1.2 и X.509v3.
• Длина ключа 2048 бит.
• После окончания срока действия сертификат можно продлить в течение 30 дней.

Let's Encrypt 

Let's Encrypt - бесплатный сертификат, выпускаемый на срок 90 дней. Сертификат работает только с одним именем и устанавливается только на домен или поддомен.

Let's Encrypt предоставляется только на тарифных планах виртуального хостинга (Year+, Optimo+, Century+, Millennium+, 1Сайт, Eterno, Premium).

Для успешной установки Let's Encrypt должны быть соблюдены несколько условий:

1. Домен зарегистрирован. 
   Невозможно выпустить сертификат для несуществующего домена. Зарегистрировать домен можно в разделе "Домены и поддомены".
2. Домен делегирован на наш сервер, для него указаны корректные A- и AAAA-записи.
   A-запись домена должна соответствовать IP-адресу сервера, где размещен сайт (IP указан на главной странице панели управления). В качестве AAAA-записи домена должен быть указан IPv6-адрес сервера: для применения этой настройки поле "AAAA-запись" в настройках DNS можно просто оставить пустым.  
3. Домен привязан к директории сайта. 
   Привязку домена можно проверить в разделе "Сайты" панели управления.
4. Домен не отображает ошибок. 
   При обращении по домену сайт должен открываться корректно. Если в работе сайта фиксируются ошибки (4xx, 5xx), сертификат не может быть выпущен. Проверьте работу сайта и обратитесь в службу поддержки, если вам нужна консультация по устранению ошибок.
5. Для домена не настроены какие-либо перенаправления. 
   Это касается как настроек в разделе "Сайты" панели управления, так и перенаправлений, заданных через .htaccess.

Также ошибка установки сертификата может возникнуть, если недоступен так называемый "проверочный путь". При выпуске сертификата создается проверочный файл, который размещается по пути /директория_сайта/public_html/.well-known/acme-challenge/. Однако настройки отдельных web-приложений могут запрещать размещение файлов по такому пути. В этом случае в панели управления в статусе сертификата будет выведено сообщение "Ошибка". Для устранения проблемы необходимо обратиться в службу поддержки.

Наверх

Управление SSL-сертификатами

Заказ и установка сертификата

Для пользователей VDS заказ сертификатов осуществляется в разделе "Лицензии и сертификаты". Подробнее процесс заказа SSL в панели vds.timeweb.ru описан здесь.

Для клиентов виртуального хостинга заказ доступен в разделе "SSL-сертификаты ".

Нажмите на ссылку "Заказать" и выберите нужный тип сертификата и домен, для которого производится заказ.

Для заказа сертификата Let's Encrypt достаточно только указания домена. Отметьте чекбокс "Я согласен с правилами предоставления услуги" и нажмите кнопку "Установить". Сертификат будет выпущен и установлен в течение 1-2 часов; дополнительных подтверждений не требуется. Перед заказом убедитесь, что выполнены все необходимые условия для успешной установки Let's Encrypt.

Для заказа одного из сертификатов Sectigo потребуется указать администратора. Для EV SSL администратором домена должно быть юридическое лицо.

На домене, для которого заказывается сертификат, обязательно должен быть создан почтовый ящик с именем admin, administrator, hostmaster, webmaster или postmaster, на который придет письмо для подтверждения заказа SSL. 

Далее выберите способ оплаты (с баланса аккаунта или отдельным платежом), отметьте чек-бокс "Я согласен с правилами предоставления услуги" и нажмите кнопку "Установить" (или "Заказать").

Последующий процесс обработки заказа будет отличаться в зависимости от типа сертификата:

• Sectigo Positive SSL
  После поступления оплаты и подтверждения заказа сертификат будет автоматически выпущен и установлен в течение нескольких часов. 
• Sectigo Positive SSL Wildcard
  После поступления оплаты и подтверждения заказа, на указанный при заказе ящик придет письмо с zip-архивом, содержащим файлы сертификата. Данный архив необходимо передать специалистам нашей службы поддержки, после чего мы установим сертификат в течение 1-2 часов.
• Sectigo EV SSL
  При выпуске данного сертификата производится расширенная проверка организации со стороны Sectigo и могут быть запрошены дополнительные сведения. Срок выпуска сертификата может занимать до 10 дней.
  После того как необходимая валидация будет пройдена, на указанный при заказе ящик придет письмо с zip-архивом, содержащим файлы сертификата. Данный архив необходимо передать специалистам нашей службы поддержки, после чего мы установим сертификат в течение 1-2 часов.

Установка стороннего сертификата

Для установки сертификата, приобретенного у другого провайдера, необходимо:

• заказать дополнительный IP-адрес (зачем нужен дополнительный IP, см. здесь);
• привязать новый адрес к домену (см. Настройка доп. IP после заказа);
• если домен делегирован на сторонние NS-серверы - на стороне провайдера NS-сереров указать в качестве A-записи домена новый IP-адрес;
• отправить в службу поддержки запрос на установку сертификата, приложив к нему файлы: сертификат, ключ от сертификата без пароля и цепочку корневых сертификатов Центра Сертификации, выдавшего SSL (не требуется для самоподписных сертификатов).

Установка будет выполнена нашими специалистами в течение 1-2 часов.

Продление сертификата

Бесплатные сертификаты Let's Encrypt продлеваются автоматически за две недели до даты истечения.

Уведомления о необходимости продления сертификатов Sectigo будут отправлены на контактный ящик аккаунта. В панели управления появится опция продления - кнопка . Она будет доступна за 30 дней до истечения срока действия сертификата и в течение 30 дней после. 

Для продления сертификата также необходимо наличие ящика с именем admin, administrator, hostmaster, webmaster или postmaster, чтобы подтвердить продление SSL.

При продлении оставшиеся дни текущего сертификата будут добавлены к сроку действия нового.

Наверх

Информация, которую может содержать и подтверждать SSL-сертификат

SSL-сертификат содержит следующую информацию:

• доменное имя, на которое оформлен SSL-сертификат;
• данные лица, на имя которого выпущен сертификат;
• физическое местонахождение владельца сертификата (город, страна);
• срок действия сертификата;
• реквизиты компании-поставщика SSL-сертификатa.

Наверх

Проверка сертификата

Проверить SSL-сертификат (установлен или не установлен, какие данные были указаны при его заказе) можно с помощью различных инструментов, например, на сайте Symantec или SSL Shopper. 

Также можно проверить соответствие сертификата и ключа;

Наверх

Зачем нужен выделенный IP-адрес для установки SSL?

Установка SSL-сертификатов на виртуальном хостинге осуществляется на выделенный IP-адрес (используются только IPv4). Исключение составляет Let's Encrypt, который устанавливается на IP-адрес сервера, указанный для домена (однако при наличии выделенного IP сертификат по умолчанию будет установлен на него).

В начале работы по протоколу https браузер устанавливает защищенное соединение с web-сервером. Только после установки защищенного соединения браузер может запросить страницу конкретного сайта по протоколу http. Чтобы при запросе к сайту выдавался правильный SSL-сертификат (принадлежащий запрашиваемому домену), необходимо, чтобы данный сайт обслуживался на отдельном IP-адресе.

Наверх

Особенности использования сертификата Sectigo Positive Wildcard SSL 

Сертификаты SSL Wildcard, работающие на домене и всех его поддоменах, в рамках нашей системы устанавливаются на конкретную директорию. Соответственно, для корректной работы сайта при использовании такого типа сертификата необходимо выполнение следующих условий:

• все поддомены должны быть привязаны к директории, на которую установлен сертификат;

• файлы сайтов, размещенных на поддоменах, должны быть загружены в подпапки в основной директории сайта;

• в файле .htaccess должно быть настроено перенаправление в нужную поддиректорию при обращении по поддомену. Пример директивы:

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_HOST} ^forum\.domain\.ru$
RewriteCond %{REQUEST_URI} !/forum/
RewriteRule ^(.*)$ /forum/$1 [L]

Наверх