SSL-сертификат (от англ. Secure Sockets Layer — уровень защищённых сокетов) - это протокол для кодировки данных, которые идут от пользователя к серверу и обратно.

Как SSL-сертификат работает?

На сервере есть ключ, с помощью которого шифруются любые данные, которыми он обменивается с пользователем. Браузер пользователя получает уникальный ключ (который известен только ему) и таким образом складывается ситуация, когда расшифровать информацию может только сервер и пользователь. Хакер конечно может перехватить данные, но расшифровать их практически невозможно.

Зачем SSL-сертификат владельцу сайта?

Если ваш сайт подразумевает регистрацию для пользователей, онлайн-покупки и т.д., то SSL-сертификат будет хорошим сигналом для пользователя, что вашему сайту можно доверять. Сегодня многие пользователи не знают об этом, и без раздумий передают данные своих кредиток на различных сайтах. Но в будущем таких людей будет становиться все меньше и меньше, т.к. после первой же пропажи денег с карточки человек сразу задумывается "а что нужно делать, чтобы деньги не пропадали?", "каким сайтам можно доверять?". В итоге о безопасном соединение, говорит наличие протокола https:// в адресе сайта или такой вид адресной строки в браузере.

Как получить SSL-сертификат?

SSL-сертификаты выдают специальные сертификационные центры, наиболее популярными в мире считаются Thawte , Comodo , Symantec . Но все они имеют англоязычный интерфейс, что создает определенные неудобства для отечественных пользователей. Поэтому сейчас появилось очень много компаний, которые являются посредниками и продают SSL-сертификаты. Это же делают и крупные хостинг-компании, и регистраторы доменов. Мы рекомендуем покупать сертификаты именно у качественных хостеров или регистраторов доменов. А еще лучше, покупать их у той компании, у которой вы регистрировали свой домен. Как правило эти компании сотрудничают с сертификационными центрами, и за счет объема имеют существенную скидку. Поэтому итоговая цена для вас скорее всего не будет меняться.

Какие бывают SSL-сертификаты?

Начальный уровень

Как правило такие сертификаты покупают в том случае, если не нужно подтверждать компанию (или компании вовсе нет, а сайт принадлежит частному лицу), а нужно лишь безопасное соединение.

• Самые дешевые
• Срок выдачи: несколько часов
• Подтверждают права на домен, и не подтверждают компанию
• Для юридических, физических и частных лиц
• Не нужны какие-либо документы

Средний уровень

Такие сертификаты уже могут подтвердить компанию владельца домена, что вызывает больше доверия у посетителей сайта. Ведь документы компании проверяет аттестационный центр, что должно вызывать максимальное доверие пользователей. При этом адрес сайта в браузере подсвечивается зеленым цветом.

• Средняя стоимость
• Срок выдачи: в течении недели
• Подтверждают компанию, которая владеет доменом
• Только для юридических лиц
• Требуются документы, подтверждающие вашу компанию и ее адрес

высокий уровень

Данные сертификаты имеют все показатели Среднего уровня, но цена их дороже, за счет маркетинговой игры центров аттестации. Так например вы сможете их использовать не только на основном домене, но и на поддоменах (например forum.mysite.com и т.д.), или пользователи с устаревшими браузерами смогут использовать защищенное соединение. Также от уровня сертификата зависит максимальный срок регистрации сертификата. Как правило он составляет 1-4 года от даты выдачи.

Сколько стоит SSL-сертификат?

Цена находится в рамках от 30 до 1200 долларов США в год. Но есть и бесплатные варианты, в виде бесплатные варианты , хотя их использование не совсем удобно.

Что нужно чтобы получить?

Для сертификатов низкого уровня

• e-mail (обязательно чтобы он принадлежал вашему сайту, например для сайта mysite.com имейл может быть [email protected]
• Имя или организация
• Адрес

Для сертификатов более высокого уровня

Здесь проводиться проверка организации, поэтому к тому, что перечислено выше вам придется добавить:

• Телефон
• Документы подтверждающие организацию (номер регистрации компании или подобные документы). В целом для каждой страны перечень
• документов разный, но будьте готовы к серьезной проверке, в плоть до того, что придется высылать копию договора о предоставлении услуг связи, чтобы подтвердить телефон. Отправка скан-копий документов возможно по факсу и электронной почте.

Также для получения SSL-сертификата у домена должен быть отключен WHOIS-Protect (скрытие данных о домене). На сегодня это правило не действует лишь на домены.ru и.рф. И еще, обязательной является генерация CSR.

Что такое CSR?

CSR (Certificate Signing Request) - это зашифрованный запрос, который нужно приложить к заявке отправляемой в центр сертификации. Этот запрос нужно сгенерировать на сервере, на котором расположен ваш сайт. Процесс генерации CSR зависит от сервера, а точнее от программного обеспечения, которое на нем установлено. Если покупать сертификат через хостинг-компанию у которой расположен ваш сайт, то скорее всего вам будет представлен удобный интерфейс для генерации CSR. Если же его нет, то мы расскажем как это сделать для наиболее распространенного серверного софта (Linux\Apache).

Как генерировать CSR?

1. Подключаетесь к серверу через SSH-соединение

Используем программу PuTTY . В командной строке вводите:

openssl genrsa -out myprivate.key 2048

Тем самым мы генерируем закрытый приватный ключ для CSR. При этом будет задано два вопроса "Enter pass phrase for private.key" и "Verifying - Enter pass phrase for myprivate.key" - это просьба два раза ввести пароль для ключа. Важно чтобы вы его запомнили, т.к. понадобится на следующем шаге. В результате будет сгенерирован файл myprivate.key.

2. Генерируем CSR

Вводим команду:

openssl req -new -key myprivate.key -out domain-name.csr

Только меняйте domain-name на имя вашего домена. Потом в ответ на вопрос "Enter pass phrase for myprivate.key" вводим пароль, который мы задавали на предыдущем шаге.

После этого только английскими буквами заполняем:

Country Name - Код страны в формате ISO-3166 (нам нужен двухбуквенный код, берем его из колонки Alpha-2);
State or Province Name: Область или регион\штат;
Locality Name: Город;
Organization Name: Организация;
Organizational Unit Name: Подразделение (необязательное заполнять);
Common Name: доменное имя;
Email Address: ваш E-mail (необязательное поле);
A challenge password: (не нужно заполнять);
An optional company name: Другое название организации (не нужно заполнять).

Все данные которые вносятся должны быть правдивыми и совпадать с теми, которые вы заполняли при регистрации домена (проверить их можно через WHOIS-сервисы). В результате этих операций, на сервере будет создан файл domain-name.csr. Его нужно сохранить, и потом приложить к заявке на получение SSL-сертификата, которая подается в центр сертификации.

Что делать, после получения SSL-сертификата?

После получения сертификата его нужно установить на сервер. Процесс установки достаточно простой, но очень отличается в зависимости от программного обеспечения сервера. Поэтому поищите инструкцию на сайте хостинг-провайдера, а еще лучше - обратитесь в техническую поддержку, чтобы правильно все настроить.

Что делать если изменились данные организации или поменялся хостинг?

В таких случаях нужно переиздавать SSL-сертификат, но при этом это должно делать бесплатно для вас.

• Tutorial

SSL (Secure Socket Layer) - протокол шифрования данных, которыми обмениваются клиент и сервер, - стал наиболее распространённым методом защиты в Интернете. Некогда он был разработан компанией Netscape. Безопасный обмен обеспечивается за счёт шифрования и аутентификации цифрового сертификата. Цифровой сертификат - файл, который уникальным образом идентифицирует серверы. Обычно цифровой сертификат подписывается и заверяется специализированными центрами. Их называют центрами сертификации или удостоверяющими центрами.

Что такое SSL-сертификат?

Многие наверняка слышали про , но не все чётко представляют, что это такое и для чего они нужны. По сути, SSL-сертификат - цифровая подпись вашего сайта, подтверждающая его подлинность. Использование сертификата позволяет защитить как владельца сайта, так и его клиентов. SSL-сертификат даёт возможность владельцу применить к своему сайту технологию SSL-шифрования.

Таким образом, назначение SSL-сертификата - обеспечить безопасное соединение между сервером и браузером пользователя, надёжно защитить данные от перехвата и подмены. Сертификат используется для шифрования данных и идентификации сайта при установлении защищённого соединения HTTPS.

Информация передаётся в зашифрованном виде, и расшифровать её можно только с помощью специального ключа, являющегося частью сертификата. Тем самым гарантируется сохранность данных. Посетители сайта вправе ожидать, что защита их информации, если она важная, будет обеспечена с помощью SSL-сертификата. Они могут покинуть ваш сайт, если видят, что он не защищён. Если сайт имеет SSL-сертификат, то в строке состояния браузера отображается значок в виде замка.

Как работает HTTPS (схема действия SSL):

- Пользователь заходит на защищённый сайт;
- Выполняется проверка DNS и определение IP-адреса хоста веб-сайта;
- Запись веб-сайта найдена, переход на веб-сервер хоста;
- Запрос безопасного SSL-соединения с хоста веб-сайта;
- Хост отвечает валидным SSL-сертификатом;
- Устанавливается защищённое соединение, передаваемые данные шифруются.

Защита для бизнеса и клиентов

Каким же сайтам нужна защита SSL? Да практически всем. Особенно тем, которые в наибольшей степени подвержены атакам: ресурсам финансовых учреждений, крупных брендов, сайтам, работающим с персональными данными и платёжной информацией.

SSL-сертификаты используют не только банки и финансовые организации, платёжные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru, но также интернет-магазины и даже частные лица и индивидуальные предприниматели.

Какую выгоду даёт использование SSL-сертификата бизнесу? Поскольку при использовании сертификатов и протокола SSL принимаемые и отправляемые при посещении сайтов данные шифруются, применяется процедура аутентификации, это даёт пользователям определенную уверенность в том, что вводимые ими персональные данные, такие как номера телефонов и банковских карт, не попадут не в те руки. Благодаря своей уникальности SSL-сертификаты также значительно затрудняют использование кибермошенниками фишинговых схем.

Владелец сайта также может не беспокоиться о том, что данные клиентов утекут на сторону в результате перехвата или атаки типа «человек посередине», и репутация бизнеса и даже дальнейшее существование компании окажется под угрозой.

1. Стандартный HTTP заменяется на HTTPS. Это говорит о том, что в соединении между сервером и браузером используется SSL.
2. Адресная строка становится зелёной, показывая, что на веб-сайте используется Extended Validation SSL.
3. Жёлтый замок с закрытой дужкой означает, что соединение между сервером и браузером защищено. Если замок открыт или отсутствует, то соединение не использует SSL.
4. В случае использования сертификата Extended Validation SSL, в адресной строке показывается название компании.

SSL-сертификат гарантирует защиту всей информации, которой сайт обменивается с браузером пользователя. И тем самым защищает ваш бизнес. Это особенно важно при финансовых операциях, онлайновых транзакциях. Косвенные выгоды - рост доверия к вашему бизнесу, увеличение продаж, защита деловой информации.

В конечном счёте SSL-сертификат помогает завоевать доверие клиентов. Если они знают, что их информация защищена, то с большей вероятностью захотят иметь дело с вашей компанией.

По данным исследования , проведённого компанией GlobalSign, 84% пользователей не стали бы делать покупки на сайте без защищённого соединения. 48% проверяют перед вводом персональных данных, насколько безопасен сайт.

Значок замка и буквы HTTPS в URL вашего сайта говорят о его безопасности. А зелёная адресная строка сайта с сертификатом Extended Validation SSL - ещё более верное свидетельство надёжности ресурса. Посетители будут знать, что зашли именно на тот сайт, и вводимая ими информация останется приватной.

Кроме того, сайты, подтверждённые сертификатами, занимают более высокие позиции в результатах выдачи поисковых систем по сравнению с конкурентами без SSL. В 2014 году компания Google объявила о том, что будет учитывать использование HTTPS (буква S как раз и обозначает применение SSL-сертификата) при ранжировании сайтов. То есть, если у сайта нет SSL-сертификата, он не займёт высокие позиции в результатах поисковой выдачи и не сможет привлечь большого числа посетителей.

Где купить SSL-сертификат?

Приобретают сертификаты обычно не напрямую у удостоверяющего центра, а через партнёров. В России продажей сертификатов известных удостоверяющих центров (УЦ), таких как Comodo, Geotrust, GoDaddy, GlobalSign, Symantec и прочих, занимается множество компаний. Корневые SSL-сертификаты этих УЦ предустановлены в качестве доверенных во всех популярных браузерах. Есть и уникальные предложения. REG.RU , как партнёр GlobalSign, реализующий с этой компанией совместную программу по развитию SSL, может предложить сертификаты данного ведущего УЦ - от базового до расширенного уровня.

Как правило, партнёры имеют договоры с разными удостоверяющими центрами, что позволяет подобрать оптимальный по цене (в рублях) и характеристикам сертификат, получить скидки и помощь опытных специалистов при выборе сертификата и установке его на сервер. Для ряда клиентов важен бренд, название компании в сертификате.

Чтобы увидеть детальную информацию о SSL-сертификате, пользователю достаточно щёлкнуть мышью на значке замка и выбрать в меню «Просмотр сертификата». Браузеры могут различаться, но сертификат всегда содержит одну и ту же информацию.

Не все SSL-сертификаты платные. Например, при регистрации домена или покупке хостинга, клиенты REG.RU могут получить SSL-сертификат бесплатно. Также приятный бонус доступен при подключении к «Яндекс.Кассе». Стоит отметить, что бесплатный сертификат выдаётся на один год.

По данным Netkraft , в 2015 году около трети SSL-сертификатов в мире было выдано компанией Symantec, опередившей GoDaddy на 10%. На первую тройку удостоверяющих центров (CA) приходится свыше 3/4 используемых в Интернете SSL–сертификатов.

По нашим подсчётам, только по доменам второго уровня, в 2015 году в доменной зоне.RU использовалось около 144 тыс. SSL-сертификатов. Лишь 30% из них валидны, то есть проверены УЦ. Все остальные не гарантируют защиту от перехвата пользовательских данных. Объём продаж SSL-сертификатов в России достигает около 6,2 млрд руб. в год. Согласно информации Mozilla, по данным на декабрь 2015 года, в мире на 40% сайтов и при 65% транзакций использовался HTTPS.

Выдаёт SSL-сертификат удостоверяющий центр - независимая сторона, проверяющая достоверность указанных в сертификате сведений: действительно ли доменное имя принадлежит компании или физическому лицу, на которые оно зарегистрировано; подлинность сайта, для которого был выпущен SSL-сертификат и др.

Уровни проверки SSL-сертификатов

Существуют сертификаты разных уровней проверки. Для защиты персональных данных пользователей подойдёт сертификат с упрощённой проверкой - DV (Domain validation). Сертификат с проверкой доменов - самый низкий и недорогой уровень. Он доступен физическим и юридическим лицам, выдаётся владельцу или администратору доменного имени и просто подтверждает это доменное имя.

Следующий уровень - сертификат OV (Organization validation) для организаций, применяемый для проверки связи между доменным именем, хозяином домена и использующей сертификат компанией. То есть такой сертификат удостоверяет не только доменное имя, но и то, что сайт принадлежит действительно существующей организации.

Для более качественной проверки компании и её полномочий на приобретение сертификатов используются так называемые сертификаты с расширенной проверкой - EV (Extended validation). Это самый престижный вид сертификатов. Такие сертификаты вызывают больше всего доверия. Например, DigiCert, один из ведущих удостоверяющих центров, продаёт сертификаты OV и EV. Партнёры GlobalSign предлагают SSL-сертификаты разного уровня, включая самый высокий.

После установки сертификата расширенной проверки адресная строка в браузере становится зелёной - это визуальный индикатор надёжности сайта. В таком сертификате указано название организации и название удостоверяющего центра, выпустившего сертификат.

Зелёная адресная строка - индикатор законности вашего бизнеса. Сертификат с расширенной проверкой не только обеспечивает защиту от мошеннических сайтов. Если сертификаты проверки доменов предусматривают только шифрование соединения, то сертификаты высшей категории ещё и дают вашим клиентам уверенность в законности вашей предпринимательской деятельности. При выпуске EV-сертификата проводится очень тщательная проверка организации, включая проверку её деятельности, соответствия официальным документам, а так же прав на использование доменного имени. Поэтому предприятия, применяющие сертификаты с расширенной проверкой, пользуются большим успехом на рынке. Как уже отмечалось, чтобы выяснить, какой сертификат вы используете, клиенту достаточно щёлкнуть мышью на значке замка в строке браузера.

Эта схема показывает доли сертификатов DV, OV и EV у основных удостоверяющих центров. Сертификаты DV составляют около 70% от сертификатов всех типов, на EV приходится менее 5%.

Бывают сертификаты для одного, нескольких доменов (SAN) и сертификаты для всех прямых поддоменов выбранного домена (Wildcard).

SSL-сертификаты в России

По данным аналитического сервиса StatOnline.ru, из 3 286 782 сайтов в зоне.RU (на конец февраля) только около 60 тыс. (или примерно 1,8%) ресурсов имеются SSL-сертификаты, проверенные удостоверяющими центрами. Остальные используют самоподписные, невалидные сертификаты, или вообще отказываются от такого вида защиты.

REG.RU и один из старейших международных удостоверяющих центров GlobalSign запустили программу популяризации защищённой передачи данных в Интернете. Она рассчитана как на владельцев интернет-ресурсов, так и на рядовых пользователей из России и СНГ.

Вместе с GlobalSign мы намерены сформировать культуру защищённой передачи информации. Ключевой элемент программы - повышение доступности технологий SSL и предоставление владельцам сайтов актуальных инструментов защиты.

На SSL-сертификаты обратили внимание и в руководстве страны. По информации СМИ , в России может быть создан собственный государственный удостоверяющий центр для их выдачи. Как сообщается, такая работа уже идёт. Но для этого придётся обязать производителей браузеров предустанавливать в свои продукты специальный корневой сертификат.

Так в чём ценность HTTPS и SSL? Зачем это нужно, когда посетителям сайта не требуется вводить конфиденциальную информацию или осуществлять платежи? Хотя бы затем, чтобы повыше подняться в результатах поиска. Да и доверие пользователей - фактор, который нельзя сбрасывать со счетов. Технически дополнить сайт SSL несложно, да и финансово это необременительно. SSL-сертификат - простой и экономичный способ защитить ваш сайт и онлайн-транзакции, сделать его более безопасным для пользователей. Сегодня SSL стал одной из самых важных мер обеспечения безопасности сайтов и признанным во всём мире отраслевым стандартом.

Теги:

• SSL
• Secure Socket Layer
• безопасность
• домены

Добавить метки

Когда вы открываете браузер, то планируете, что всё будет в обычном режиме. Но что делать, если компьютер не хочет работать как надо? И сообщает, что сертификат сервера недействителен? В этом случае вам необходимо проверить, как всё работает, всё ли правильно выставлено, и нет ли каких-то проблем. Можно увидеть это сообщение на крупных сайтах (недействительный сертификат сервера Google, "ВКонтакте"), которые просто не могут допустить такую оплошность.

Что это значит?

Для начала: зачем используется данное обозначение? Что это значит, когда компьютер сообщает, что представленный сервером сертификат недействителен? Таким образом, компьютер говорит, что электронные документы сайта, которые он предоставил, имеют какую-то неточность, благодаря чему у машины есть основание для сомнений относительно его подлинности или полноценности функционирования. Данная проблема может возникнуть как из-за неполадок со стороны сервера, так и из-за неточностей на ЭОМ пользователя. Если рассматривать первую версию, то тут может быть такое:

1. Неполадка с сайтом центра сертификации. Все эти подтверждения выдают специальные организации. И как любой другой, они не застрахованы от возможных проблем вроде террористов, землетрясения, оползней, повреждения линий передач и многих других проблем. Но это случается крайне редко, и уповать на данный пункт особо не приходится.
2. Проблемы с сайтом вследствие технических неполадок или умышленного вреда. Здесь тоже может пойти что-то не так. Системный администратор что-то не то нажал или злоумышленники ведут атаку сервера, результат один - сертификат сервера недействителен. Но это тоже редко случается.

Основные проблемы данного типа происходят в основном на клиентских компьютерах пользователей. Здесь уже может быть ассортимент причин намного шире, поэтому будут названы основные:

1. Неправильно установленное время.
2. Проблема с программным обеспечением, предназначенным для просмотра Всемирной сети.

И как же устранить данные проблемы? Вот этому вопросу сейчас и будет уделено внимание.

Настройка времени

Самая популярная причина. Если на компьютере стоит неверное время или дата, то когда происходит получение всех файлов, машина видит, что параметры не совпадают, и информирует пользователя, что сертификат сервера недействителен. Это всё делается с целью обезопасить человека, который выходит в интернет, и не допустить потери важных для него данных. Исправить данную проблему очень легко - для этого достаточно всего лишь исправить время на и час, и данной проблемы не будет. На этот случай приходится приблизительно 95% подобных происшествий.

Убираем проверку сертификата

Что делать, если проблема не во времени, а в чем-то другом? И что бы вы ни делали, сертификат сервера недействителен и в таком статусе и остается? И при этом доступ к данным следует получить срочно? Что ж, если нет времени искать истинную причину, то можно поступить просто и эффективно - всего лишь отключить проверку сертификата. Для этого необходимо перейти в настройки своего браузера, затем зайти в раздел безопасности и совершить необходимые действия (более конкретный план напрямую зависит от используемой программы). И компьютер не сможет заблокировать доступ к сайту, потому что сертификат сервера недействителен. Но совершайте данные действия относительно только тех сетевых ресурсов, которым вы доверяете.

Заключение

Почему было рассмотрено так мало причин и способов их устранения? Дело в том, что с их помощью можно решить основную массу проблем, которые возникают, когда сертификат сервера недействителен. Если они не помогли, то вам вряд ли под силу уже устранить неисправности, и тут нужна помощь специалиста.

TLS и SSL упоминаются в последнее время все чаще и чаще, более актуальным становится использование цифровых сертификатов, и даже появились компании, готовые бесплатно предоставлять цифровые сертификаты всем желающим, чтобы гарантировать шифрование трафика между посещаемыми сайтами и браузером клиента. Нужно это, естественно, для безопасности, чтобы никто в сети не мог получить данные, которые передаются от клиента серверу и обратно. Как же это всё работает и как это использовать? Чтобы это понять, надо, пожалуй, начать с теории, а потом показать на практике. Итак, SSL и TLS.

Что такое SSL и что такое TLS?

SSL — Secure Socket Layer, уровень защищенных сокетов. TLS — Transport Layer Security, безопасность транспортного уровня. SSL является более ранней системой, TLS появился позднее и он основан на спецификации SSL 3.0, разработанной компанией Netscape Communications. Тем не менее, задача у этих протоколов одна — обеспечение защищенной передачи данных между двумя компьютерами в сети Интернет. Такую передачу используют для различных сайтов, для электронной почты, для обмена сообщениями и много еще для чего. В принципе, можно передавать любую информацию таким образом, об этом чуть ниже.

Безопасная передача обеспечивается при помощи аутентификации и шифрования передаваемой информации. По сути эти протоколы, TLS и SSL, работают одинаково, принципиальных различий нет. TLS, можно сказать, является преемником SSL, хотя они и могут использоваться одновременно, причем даже на одном и том же сервере. Такая поддержка необходима для того, чтобы обеспечить работу как с новыми клиентами (устройствами и браузерами), так и с устаревшими, которые TLS не поддерживают. Последовательность возникновения этих протоколов выглядит вот так:

SSL 1.0 — никогда не публиковался
SSL 2.0 — февраль 1995 года
SSL 3.0 — 1996 год
TLS 1.0 — январь 1999 года
TLS 1.1 — апрель 2006 года
TLS 1.2 — август 2008 года

Принцип работы SSL и TLS

Принцип работы SSL и TLS, как я уже сказал, один и тот же. Поверх протокола TCP/IP устанавливается зашифрованный канал, внутри которого передаются данные по прикладному протоколу — HTTP, FTP, и так далее. Вот как это можно представить графически:

Прикладной протокол «заворачивается» в TLS/SSL, а тот в свою очередь в TCP/IP. По сути данные по прикладному протоколу передаются по TCP/IP, но они зашифрованы. И расшифровать передаваемые данные может только та машина, которая установила соединения. Для всех остальных, кто получит передаваемые пакеты, эта информация будет бессмысленной, если они не смогут ее расшифровать.

Установка соединения обеспечивается в несколько этапов:

1) Клиент устанавливает соединение с сервером и запрашивает защищенное подключение. Это может обеспечиваться либо установлением соединения на порт, который изначально предназначен для работы с SSL/TLS, например, 443, либо дополнительным запросом клиентом установки защищенного соединения после установки обычного.

2) При установке соединения клиент предоставляет список алгоритмов шифрования, которые он «знает». Сервер сверяет полученный список со списком алгоритмов, которые «знает» сам сервер, и выбирает наиболее надежный алгоритм, после чего сообщает клиенту, какой алгоритм использовать

3) Сервер отправляет клиенту свой цифровой сертификат, подписанный удостоверяющим центром, и открытый ключ сервера.

4) Клиент может связаться с сервером доверенного центра сертификации, который подписал сертификат сервера, и проверить, валиден ли сертификат сервера. Но может и не связываться. В операционной системе обычно уже установлены корневые сертификаты центров сертификации, с которыми сверяют подписи серверных сертификатов, например, браузеры.

5) Генерируется сеансовый ключ для защищенного соединения. Это делается следующим образом:
— Клиент генерирует случайную цифровую последовательность
— Клиент шифрует ее открытым ключом сервера и посылает результат на сервер
— Сервер расшифровывает полученную последовательность при помощи закрытого ключа
Учитывая, что алгоритм шифрования является асимметричным, расшифровать последовательность может только сервер. При использовании асимметричного шифрования используется два ключа — приватный и публичный. Публичным отправляемое сообщение шифруется, а приватным расшифровывается. Расшифровать сообщение, имея публичный, ключ нельзя.

6) Таким образом устанавливается зашифрованное соединение. Данные, передаваемые по нему, шифруются и расшифровываются до тех пор, пока соединение не будет разорвано.

Корневой сертификат

Чуть выше я упомянул корневой сертификат. Это сертификат авторизационного центра, подпись которым подтверждает, что сертификат, который подписан, является именно тем, который принадлежит соответствующему сервису. В самом сертификате обычно содержится ряд информационных полей, в которых содержится информация об имени сервера, которому выдан сертификат, и сроках действия этого сертификата. Если срок действия сертификата истек, он признается недействительным.

Запрос на подпись (CSR, Certificate Sign Request)

Для получения подписанного серверного сертификата необходимо сгенерировать запрос на подпись (CSR, Certificate Sign Request) и отправить этот запрос авторизационному центру, который вернет подписанный сертификат, устанавливаемый непосредственно на сервер, чуть ниже посмотрим, как это сделать на практике. Сначала генерируется ключ для шифрования, затем на основании этого ключа генерируется запрос на подпись, CSR-файл.

Клиентский сертификат

Клиентский сертификат может быть сгенерирован как для использования в устройствах, так и для использования пользователями. Обычно такие сертификаты используются при двусторонней верификации, когда клиент верифицирует, что сервер действительно тот, за кого себя выдает, и сервер в ответ делает то же самое. Такое взаимодействие называется двусторонней аутентификацией или mutual authentication. Двусторонняя аутентификация позволяет повысить уровень безопасности по сравнению с односторонней, а также может служить заменой аутентификации с использованием логина и пароля.

Цепочка действий по генерации сертификатов

Давайте посмотрим на практике, как происходят действия, связанные с генерацией сертификатов, с самого начала, и при этом на практике.

Первое, что делается — это генерация корневого сертификата. Корневой сертификат подписывается самим собой. А потом уже этим сертификатом будут подписываться другие сертификаты.

$ openssl genrsa -out root.key 2048 Generating RSA private key, 2048 bit long modulus ..........+++ ...........................................+++ e is 65537 (0x10001) $ openssl req -new -key root.key -out root.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :My Company Root Certificate Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name :My Company $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] Getting Private key

Таким образом мы сгенерировали сначала приватный ключ, затем запрос подписи, а затем своим ключом подписали свой же запрос и получили собственный цифровой сертификат, выданный на 10 лет. Пароль (challenge password) при генерации сертификата можно не вводить.

Приватный ключ ОБЯЗАТЕЛЬНО необходимо хранить в надежном месте, имея его можно подписать от вашего имени любой сертификат. А полученный корневой сертификат можно использовать для идентификации того, что сертификат, например, сервера подписан именно нами, а не кем-то еще. Именно такие действия выполняют авторизационные центры, когда генерируют собственные сертификаты. После создания корневого сертификата можно приступать к генерации сертификата сервера.

Просмотр информации о сертификате

Содержимое сертификата можно просмотреть таким образом:

$ openssl x509 -noout -issuer -enddate -in root.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] notAfter=Jan 22 11:49:41 2025 GMT

Мы видим, кто выдал этот сертификат и когда заканчивается срок его годности.

Серверный сертификат

Для подписи сертификата для сервера нам нужно выполнить следующие действия:

1) Сгенерировать ключ
2) Сгенерировать запрос на подпись
3) Отправить CSR-файл в авторизационный центр или подписать самостоятельно

В серверный сертификат может включаться цепочка сертификатов, которыми подписан сертификат сервера, но ее можно также хранить в отдельном файле. В принципе, выглядит всё примерно так же, как и при генерации корневого сертификата

$ openssl genrsa -out server.key 2048 Generating RSA private key, 2048 bit long modulus ...................................................................................+++ ..........................+++ e is 65537 (0x10001) $ openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :www.mycompany.com Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] notAfter=Jan 25 12:22:32 2016 GMT

Таким образом сертификат сервера подписан и мы будем знать, какой организацией выдан этот сертификат. После подписи готовый сертификат можно использовать по назначению, например, установить на веб-сервер.

Установка SSL/TLS-сертификата на сервер с nginx

Для установки SSL/TLS-сертификата на веб-сервер nginx надо выполнить несколько простых шагов:

1) Скопировать файлы.key и.pem на сервер. В различных операционных системах сертификаты и ключи могут храниться в разных директориях. В Debian’е, к примеру, это директория /etc/ssl/certs для сертификатов и /etc/ssl/private для ключей. В CentOS это /etc/pki/tls/certs и /etc/pki/tls/private

2) Прописать необходимые настройки в конфигурационный файл для хоста. Вот как это примерно должно выглядеть (это просто пример):

Server { listen 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # Не рекомендуется использовать SSLv3 !!! # Он здесь только для примера ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / { try_files $uri $uri/ =404; } }

3) Перезапустить nginx

4) Зайти браузером на 443 порт сервера — https://www.mycompany.com и проверить его работоспособность.

Установка SSL/TLS-сертификата на сервер с Apache

Установка SSL/TLS-сертификата на Apache выглядит примерно так же.

1) Скопировать файлы ключа и сертификата на сервер в соответствующие директории

2) Включить модуль ssl для Apache командой «a2enmod ssl», если он еще не включен

3) Создать виртуальный хост, который будет слушать 443 порт. Конфиг будет выглядеть примерно так:

ServerAdmin [email protected] DocumentRoot /var/www Options FollowSymLinks AllowOverride None Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile /etc/ssl/private/server.key # Эта директива добавляет файл, содержащий список # всех сертификатов, которыми подписан сертификат сервера #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions +StdEnvVars SSLOptions +StdEnvVars BrowserMatch "MSIE " \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

При этом надо сделать еще кое-что. Найти в файле httpd.conf, или apache2.conf, или ports.conf, в зависимости от системы, такой участок конфига:

Listen 443

Если такого условия нет, его надо добавить в конфиг. И еще одно: Надо добавить строку

NameVirtualHost *:443

Эта строка может находиться в файле httpd.conf, apache2.conf или ports.conf

4) Перезапустить веб-сервер Apache

Создание клиентского сертификата

Клиентский сертификат создается примерно так же, как серверный.

$ openssl genrsa -out client.key 2048 Generating RSA private key, 2048 bit long modulus ........................+++ ..................................................+++ e is 65537 (0x10001) $ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :Saint-Petersburg Locality Name (eg, city) :^C mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petrersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :Engineering Common Name (e.g. server FQDN or YOUR name) :Ivan Ivanov Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] notAfter=Jan 25 13:17:15 2016 GMT

Если необходим клиентский сертификат в формате PKCS12, создаем его:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Enter Export Password: Verifying - Enter Export Password:

Теперь можно использовать клиентский сертификат для работы с нашим сервером.

Настройка nginx на использование клиентских сертификатов

Чаще всего, как я уже сказал, используется односторонняя аутентификация, обычно проверяется только сертификат сервера. Давайте посмотрим, как заставить веб-сервер nginx проверять клиентский сертификат. Необходимо в секцию server добавить опции для работы с клиентскими сертификатами:

# Корневой сертификат(ы), которым(и) подписан клиентский ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Возможные варианты: on | off | optional | optional_no_ca ssl_verify_client optional; # Глубина проверки цепочки сертификатов, которыми подписан клиентский ssl_verify_depth 2;

После этого надо перезагрузить настройки или сервер целиком и можно проверять работу.

Настройка Apache на использование клиентских сертификатов

Apache настраивается также через добавление дополнительных опций в секцию виртуального хоста:

# Директория, содержащая корневые сертификаты для проверки клиентов SSLCARevocationPath /etc/apache2/ssl.crl/ # или файл, содержащий сертификаты SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # Опция верификации клиента. Возможные варианты: # none, optional, require and optional_no_ca SSLVerifyClient require # Глубина просмотра цепочки подписей. По умолчанию 1 SSLVerifyDepth 2

Как видите, опции примерно такие же, как и для nginx, поскольку процесс проверки организован единообразно.

«Прослушка» информации о сертификате при помощи openssl

Для проверки взаимодействия сервера с клиентскими сертификатами можно проверить, устанавливается ли соединение с использованием TLS/SSL.

На стороне сервера запускаем прослушку порта при помощи openssl:

Openssl s_server -accept 443 -cert server.pem -key server.key -state

На стороне клиента обращаемся к серверу, например, culr’ом:

Curl -k https://127.0.0.1:443

В консоли со стороны сервера можно наблюдать процесс обмена информацией между сервером и клиентом.

Можно также использовать опции -verify [глубина проверки] и -Verify [глубина проверки]. Опция с маленькой буквы запрашивает у клиента сертификат, но он не обязан его предоставлять. С большой буквы — если сертификат не предоставлен, возникнет ошибка. Запустим прослушку со стороны сервера таким образом:

Openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Со стороны сервера ошибка выглядит так:

140203927217808:error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate:s3_srvr.c:3287:

Со стороны клиента так:

Curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Добавим с клиентской стороны сертификат и доменное имя (можно для проверки вписать в файл /etc/hosts имя хоста для адреса 127.0.0.1):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Теперь соединение пройдет успешно и можно устанавливать серверный сертификат на веб-сервер, клиентский отдать клиенту, и работать с ними.

Безопасность

При использовании SSL/TLS одним из основных методов является метод MITM (Man In The Middle), «человек посередине». Этот метод основывается на использовании серверного сертификата и ключа на каком-то узле, который будет прослушивать трафик и расшифровывать информацию, которой обмениваются сервер и клиент. Для организации прослушивания можно использовать, например, программу sslsniff. Поэтому корневой сертификат и ключ обычно желательно хранить на машине, которая не подключена к сети, для подписания приносить запросы на подпись на флэшке, подписывать и так же уносить. И, естественно, делать резервные копии.

В общих чертах именно так и используются цифровые сертификаты и протоколы TLS и SSL. Если есть вопросы/дополнения, пишите в комментарии.

Запись опубликована автором в рубрике с метками , .

Навигация по записям

: 29 комментариев

1. cl-service.com

   CSR клиент генерирует сам при заказе сертификата, где сохранять закрытый ключ также решает клиент, для выпуска сертификата нам не нужен закрытый ключ и клиент нам его никак не передает. Естественно если это происходит на обычном виртуальном, то у администраторов с root доступом к серверу есть доступ и к ключам, которые там хранятся.

2. Доброжелатель.

   Тема сисек не раскрыта, ибо описанная технология работы PKI не имеет ничего общего с заголовком темы. Хоть бы для причия ссылки на rfc привел.
   P.S. Был такой анекдот про собаку и блоху.

3. Доброжелатель.

   Нивкоем случае не хотел тебя обидеть. Искал инфу о различии SSl и TLS на практике и твоя ссылка в гугле была первая. Был заинтрегован названием темы. Все круто, так держать!

4. DrAibolit

   Благодарю за толковые пояснения о цифровой сертификации. Я новичок в этом=)
   Надеюсь разъясните следующий вопрос.
   Поскольку в интернет индустрии очень развита тема мошенничества, хотелось бы научиться определять на «вшивость» самостоятельно посещаемые мною сайты (особенно, где присутствуют кашельки и оплаты, инвестиции и т.д) и определять исходя из этого степень моего доверия (приходится часто регистрироваться, оставлять личную информацию, совершать покупки, транзакции, инвестиции). Если я правильно понял, что наличие данной сертификации позволяет сделать такую оценку. Ну и с другой стороны, получить ее не проблема и даже бесплатно.
   Как или с помощью какой программы можно определить наличие цифрового сертификата у того или иного сайта? и желательно его категорию, которая присваивается при выдаче спецорганом SSL DV (выдача сертификата проводится с проверкой только домена), SSL OV (с проверкой организации), EV (с расширенной проверкой юрлица). Мошеннические сайты скорее всего последним вариантом сертификации пользоваться не станут..
   Буду рад, если поведаете еще способы определения надежности сайтов))

   1. mnorin Автор записи

      Какой-то определенной программы для этих целей я еще не встречал, но пару советов по этому поводу могу дать.
      Можно использовать, например, Chromium или Google Chrome. Возьмем, например, сайт https://www.thawte.com/ — компания, которая собственно цифровымисертификатами и занимается.
      В адресной строке будет написано название компании и зеленый замочек. Это значит, что организация проверена, это как минимум SSL OV.
      Если кликнуть на замочек, а в выпавшем окошке «Details», а затем «View Certificate», то можно увидеть информацию о сертификате. Для Thawte сертификат подписан следующим сертификатом: «thawte Extended Validation SHA256 SSL CA», а сертификат для click.alfabank.ru тоже подписан Thawte, но другим сертификатом. Это «thawte EV SSL CA — G3», то есть они тоже проходили Extended Validation.
      Как-то так.

5. Руслан

   Раздел «Принцип работы SSL и TLS», «Клиент генерирует случайную цифровую последовательность».

   Я был уверен что клиент генерирует сеансовый закрытый и, соответственно, открытый ключи (который вы, очевидно, и назвали «цифровая последовательность»). Открытый ключ передаётся серверу и сервер шифрует пакеты в сторону клиента сеансовым открытым клиентским ключом.

   Уточните, пожалуйста.

6. Новичок

   Статья очень полезная! Даже есть практические примеры=) Только я не понял одну вещь — в чем различие между корневым сертификатом и серверным? или это одно и тоже?

7. Виталий

   Здравствуйте.
   Хостер предложил услугу - SSL для виртуальных серверов. Воспользовались. Оказалось, что для третьего уровня, т.е. http://www.site.ru сертификат недействителен, только для site.ru. Притом, посетителей упорно кидает на протокол https, не важно, заходят они на site.ru или на http://www.site.ru . Разумеется, во втором случае браузер начинает истошно ругаться, а посетитель до сайта так и не добирается.
   А для тех, кто до сайта таки добрался, сайт стал выглядеть криво, пропала часть меню, перестала отображаться часть картинок в выдаче некоторыми компонентами.

Может кто-нибудь из вас сталкивался с окошком «сертификат сервера истек» во время веб-серфинга. Что делать в этом случае?

Итак, появление сообщения о том, что сертификат сервера истек, может быть вызвано следующими причинами:

• Кривой работой веб-разработчика, который забыл вовремя продлить сертификат на установку защищенного соединения с использованием шифрования данных (по протоколу https). Но это маловероятно, хотя вполне может иметь место. Ведь веб-мастера отвечают за обновление срока действия сертификата своей зарплатой.
• Настройками вашей ОС Windows, в частности системным временем (самая распространенная проблема!), либо антивируса.

Первый вариант мы рассматривать не будем, от нас там ничего не зависит – можем только попробовать нажать в появившемся окошке кнопку «добавить исключение» или «все равно войти». При невозможности – смиритесь и покиньте сервер. Но этот вариант – только если вы абсолютно уверены, что это проблема сервера, а не вашего ПК. Попросите кого-нибудь из знакомых зайти на тот же сервер. Если он смог это сделать и «сертификат сервера истек» у него не выдает – то ищем проблему с нашей стороны.

Что же делать в случае, если сообщения об истечении сертификата сервера уже начали Вас раздражать и истек уже не только сертификат, но и запас вашего терпения?

1. Во-первых, необходимо проверить системное время, поскольку иногда, особенно после переустановки операционной системы оно может сбиться. Как это сделать? Самое простое - посмотрите на экран, снизу справа. Что там? Случаем не 2144 год, хотя еще и 2012 не истек? Возвращаем компьютер из будущего – и вот уже забываем что такое «сертификат сервера истек». Также настроить дату и время вы можете через меню «панель инструментов», которая появится при нажатии кнопки «Пуск».
2. Также причина появления сообщения о том, что сертификат сервера истек, может быть вызвано антивирусной защитой, особенно если у вас установлен антивирус Avira. Что делать в этом случае? Попробуйте (временно! ) отключить антивирус и зайти на проверенный сайт, к примеру, на google. Сертификат сервера больше не беспокоит? Значит корень зла найден, смотрите настройки антивируса, особенное внимание уделите значению времени, либо переустанавливайте его, зачатую такие проблемы возникают, если антивирусная программа не лицензионная. Но если вы не являетесь опытным пользователем компьютера, делать что-либо с настройками антивируса – для вас потенциальный риск, поэтому лучше обратитесь к знающему приятелю или, в крайнем случае, в сервисный центр. В этом случае лучше заплатить специалисту, знающему что делать, чем оставить свою систему беззащитной.