Процесс валидации для SSL-сертификатов
Валидация — это процесс, во время которого центр сертификации проверяет точность и достоверность информации, которая будет указана в SSL сертификате. В зависимости от типа сертификата, валидация может занимать разное время и требовать различные документы.
Валидация домена
Проверка домена (Domain Control Validation, DCV) — самый быстрый способ получить SSL-сертификат как для бизнес-клиентов, так и для частных лиц. При проверке домена не требуется бумажных документов, звонков и прочего — все происходит он-лайн. Процесс проверки быстрый и простой: требуется получить e-mail и ответить на него либо перейти по ссылке.
Обратите внимание: валидация домена в общем случае может быть проведена только для доменов, у которых не скрыты данные в Whois. Если данные скрыты, эту опцию будет необходимо отключить на время прохождения проверки.
Обычная проверка
В рамках обычной проверки домена клиенту отправляется проверочное письмо, которое содержит уникальный проверочный код и ссылку.Переход по ссылке и введение кода подтверждают принадлежность домена клиенту.
Проверочное письмо отправляется по выбору пользователя на один из следующих стандартных адресов домена, для которого выпускается сертификат: admin@, administrator@, postmaster@, hostmaster@, webmaster@.
Альтернативная проверка (только сертификаты Comodo)
HTTP-проверка. CSR (файл запроса сертификата), который отправляется в Comodo, хешируется в уникальный код. Этот код предоставляется клиенту, после чего необходимо создать текстовый файл и разместить его в корне сайта, для которого заказывается сертификат.
DNS CNAME-проверка. CSR (файл запроса сертификата), который отправляется в Comodo, хешируется в уникальный код. Этот код необходимо добавить в DNS-зону домена как CNAME-запись для самого домена.
Альтернативная проверка (Остальные)
HTTP-проверка. CSR (файл запроса сертификата), который отправляется в центр сертификации, хешируется в уникальный код. Этот код предоставляется клиенту, после чего необходимо создать текстовый файл и разместить его в корне сайта, для которого заказывается сертификат.
Проверка компании
Проверка компании (business validation) требует прохождения проверки домена и отправки документов компании для ее идентификации. Проверка происходит вручную и занимает несколько рабочих дней. Рекомендуется для интернет-бизнеса, который официально зарегистрирован.
Шаг 1 — Проверка домена
Процесс проверки быстрый и простой — необходимо получить проверочное письмо и выполнить инструкции из него — перейти по ссылке либо ответить.
Шаг 2 — Предоставление бизнес-документов
Потребуется отправить документы компании в центр сертификации. Это можно сделать по почте, факсом или по E-mail в формате PDF. Если сертификат заказывается для коммерческой организации, потребуется предоставить один из следующих документов: Устав организации, бизнес-лицензии, номер компании в каталоге Dun & Bradstreet.
Шаг 3 — Проверка контактов
Чтобы завершить процесс валидации, центр сертификации совершает проверочный звонок в компанию. Как правило, для звонка используется контактный номер, найденный в публичных источниках.
Расширенная проверка
Расширенная проверка (extended validation) требует прохождения проверки домена и отправки документов компании для ее идентификации. Проверка происходит вручную и занимает от нескольких рабочих дней. Рекомендуется для интернет-бизнеса, который официально зарегистрирован и хочет дополнительно повысить свою репутацию в глазах посететилей сайта с помощью зеленой строки браузера.
Шаг 1 — Проверка домена
Процесс проверки быстрый и простой — необходимо получить проверочное письмо и выполнить инструкции из него — перейти по ссылке либо ответить.
Шаг 2 — Предоставление бизнес-документов
Потребуется отправить документы компании в центр сертификации. Это можно сделать по почте, факсом или по E-mail в формате PDF. Если сертификат заказывается для коммерческой организации, потребуется предоставить один из следующих документов: Устав организации, бизнес-лицензии, номер компании в каталоге Dun & Bradstreet.
Шаг 3 — Предоставление документов для расширенной проверки.
Потребуется предоставить в центр сертификации соглашение пользователя EV (EV SSL Subscriber Agreement) и форму запроса сертификата. Этот процесс занимает определенное время, но результат того стоит.
Шаг 4 — Проверка контактов
Чтобы завершить процесс валидации, центр сертификации совершает проверочный звонок в компанию. Как правило, для звонка используется контактный номер, найденный в публичных источниках.
Как проверить валидность сертификата?
Проверить валиден ли сертификат можно двумя способами:
К сведению: валидный — соответствующий требованиям, действующий, допустимый, приемлемый, правильный.
Установите корневой сертификат удостоверяющего центра АЙТИКОМ, воспользовавшись Программа для установки корневых сертификатов и обновления списков отзыва УЦ ООО «АЙТИКОМ». Методика установки корневых сертификатов смотрите в этом документе.
Откройте подписанный документ или саму электронную подпись и перейдите на вкладку «Путь сертификации». В окне «Состояние сертификата» должно быть написано «Этот сертификат действителен».
Проверьте сертификат на портале Госуслуг (потребуется открытая часть ключа, сертификат подписанта (файл с расширением .cer).
Валидность сертификата что это такое
Пользователи часто указывают на сайтах личные данные — пароли к учетным записям, электронные адреса, телефоны. Кроме того, растет количество веб-ресурсов, дающих возможность совершить покупку онлайн — интернет-магазины, банки, сервисы покупки билетов и другие коммерческие проекты.
В ходе транзакций пользователи указывают реквизиты своих платежных карт. Иногда злоумышленники делают попытку перехватить информацию из закрытой части сайта.
Конфиденциальная информация пользователей передается в зашифрованном виде, с соответствующей цифровой подписью сертификата.
Надежный сайт должен вызывать доверие, предоставляя условия для защиты персональных данных клиентов, таких как номера банковских карт, как в ecommerce, так и на ресурсах для общения и обмена информацией, поэтому нужен SSL, обеспечивающий безопасность. SSL шифрование является способом обеспечить безопасное соединение и защитить личную информацию пользователей на любом сайте.
Первым делом нужно определить тип интернет-ресурса и необходимый для него уровень контроля сохранности информации.
Если к сайту подключена платежная система, которой пользователь доверяет данные своей банковской карты, следует купить SSL-сертификат с расширенной проверкой, обеспечивающей защищённое соединение. При этом поставщик услуг должен быть надежным.
Для информационного ресурса, блога или сайта-визитки может подойти бесплатный SSL-сертификат, например, от Let’s Encrypt.
Расширенная проверка (EV или extended validation). Такой сертификат требует не только официальной регистрации компании, но и соответствия мировым стандартам в сфере финансов.
Результатом успешной расширенной проверки будет отображение названия компании в адресной строке браузера. Срок выпуска такого сертификата обычно занимает несколько дней.
Кроме обеспечения защиты определенного сайта, например, www.mysite.com, можно получить один SSL-сертификат для нескольких доменов: www.mysite1.com, mysite2.com, mysite.biz и т.д.
Максимальное количество доменов, которое защищает один мультидоменный сертификат (MDC), зависит от провайдера. Например, это может быть 100 или 250 сайтов. Часто установленный лимит можно увеличить за дополнительную плату.
Используя данные для доступа к хостингу, следует выполнить установку SSL-сертификата на домен. Это можно сделать через панель инструментов на хостинге, админку сайта или командную строку.
Часто настройку сертификата на хостинге проводят, заполняя специальную форму, или загружая ключевые файлы и отправляя их на проверку. Также возможна работа с файлами с расширением .crt в разделе, отвечающем за настройки SSL.
Некоторые провайдеры предлагают запрос сертификата в один клик. В этом случае владельцу сайта достаточно заказать и оплатить услугу — все остальное сделает за него хостинг-провайдер.
Особенности использования валидных SSL-сертификатов
SSL-сертификаты можно создавать самому, это так называемые самоподписанные сертификаты. В некоторых сферах использования разницы по сравнению с покупными нет. Примером такой сферы может быть настройка использования SSH без пароля, а с авторизацией с помощью асинхронного шифрования.
Проверяемые (валидные) сертификаты выдаются специальным поставщиком и им же верифицируются. Если установить такой сертификат для веб-сервера, то в адресной строке будет красивый зелёный замочек. Если же точно так же установить самоподписанный сертификат, то вместо входа на сайт, браузеры (по крайней мере некоторые браузеры) покажут страшные надписи о разных страшных вещах. Такой сертификат может только отпугнуть потенциальных посетителей, да и защиты никакой он не несёт, поскольку специализирующиеся по перехвату трафика программы могут генерировать на лету любое количество подобных сертификатов.
Аналогично и при отправке почты. Вот такой вид будет иметь письмо, если оно поступило без шифрования:
Вот так выглядит письмо с шифрованием:
Сейчас некоторые поставщики сертификатов предоставляют валидные сертификаты на три месяца с автоматическим проодлением совершенно бесплатно! О том, как получить их бесплатно я описывал в статье «Для чего нужны SSL-сертификаты и как получить бесплатно валидный сертификат». Самое важное то, что хостер разрешает выгружать частный ключ и все другие необходимые данные. Т.е. вы можете бесплатно получить сертификат здесь, а использовать его на любом своём сервере.
Теперь, когда мы разобрались где их брать, давайте рассмотрим, как их использовать.
Один и тот же сертификат можно использовать и для почтового сервера, и для веб-сервера!
Поскольку сертификаты нам дают бесплатно, то они являются самыми простыми, без субдоменов (точнее, с одним поддоменом www.), то это нужно учитывать при настройке postfix. Например, для домена suip.biz у меня в файле
Поскольку на поддомен mail. сертификат не распространяется, то я подправил файл, чтобы получилось так:
Функциональность почты из-за этого не изменилась.
С валидными сертификатами поставляется файл ca-bundle.crt (это корневые сертификаты CAcertificates). Поскольку для самоподписанных нет нужды их прописывать, то некоторые забывают добавить соответствующие настройки. К примеру, в файле (для настройки postfix)
теперь должно быть три строки, связанные с сертификатом (добавилась информация о корневых сертификатах):
При настройке dovecot также должно быть три строки:
И это же касается веб-сервера (виртуальных хостов):
Вы можете бесплатно получить действительный (валидный) SSL-сертификат, а также настроить автоматическое продление с помощью программы acme-tiny. Инструкция по использованию программы acme-tiny здесь.