Ssl сертификат Яндекс

Ssl сертификат Яндекс

Содержание

В чем разница между долговыми и долевыми ценными бумагами?

В деловом мире практикуется сложная система финансовых отношений. В таких ситуациях бизнесменов выручает фондовая биржа ценных бумаг. Финансовые регуляторы, которые выпускаются и обращаются здесь, упрощают взаимодействия сторон экономических сделок.

Сегодня экономисты выделяют две главных группы такого инструментария: долговые ценные бумаги и долевые ценные бумаги. Разберемся с отличиями и узнаем о нюансах этих видов.

Начнем обсуждение с определения основных терминов. В экономической области на фондовом рынке различают долевые и долговые ценные бумаги. Первая разновидность создана для определения части инвестора при создании или управлении компанией. Соответственно, подобная доля определяет и пропорциональный доход участника организации. Привычной формой подобной документации тут считаются акции.

Долговые и долевые ценные бумаги используются для обеспечения прав инвесторов и увеличения оборотного актива эмитентов

Если же говорить о долговых ЦБ, здесь учитываются нюансы размера и даты возврата заемного капитала кредитору, который инвестирует конкретное предприятие. Таким образом, в этом случае экономический инструмент выступает гарантиями для бизнесмена, вкладывающего средства в развитие компании. Причем здесь «классической» формой финансисты считают вексель.

Отметим, в Российской Федерации правила и порядок обращения этого регулятора описаны в двух Федеральных Законах: «О рынке ценных бумаг» и «О векселе».

Общая классификация ценных бумаг на фоновой бирже

Учитывайте, оба направления характеризуются сложной классификацией, однако экономисты делят фондовый рынок на две ключевые части: финансовые обязательства и акции. Соответственно, в первом случае происходит обращение долговых регуляторов, а во втором – долевых. Обратите внимание, несмотря на кажущееся сходство, на обеих биржах практикуются различные принципы и методики работы.

Характеристики регуляторов

Чтобы разобраться в этой теме и безошибочно отделять оба понятия, уместно изучить общие черты и различия долевых и долговых ЦБ. Правильная оценка пакета гарантирует держателю уверенность в ликвидности вложений или возврате заемного актива. Кроме того, тут целесообразно учитывать и вероятную выгоду.

Ключевые критерии и характеристики конкретного вида ценных бумаг определяют риски и прибыль инвестора

Одним словом, полный перечень особенностей обоих пакетов помогает в изучении этого вопроса. Предлагаем начать с рассмотрения общих параметров, узнать о вероятных различиях и нюансах. Подобные аспекты способствуют глубокому пониманию темы и облегчают выбор начинающих биржевых игроков.

Сходство портфелей

Сначала затронем вопрос общности характеристик рассматриваемых видов финансовых инструментов. Учитывая, что долговые и долевые ценные бумаги – это своеобразное обеспечение прав инвестора, здесь экономисты говорят о сходстве появления таких регуляторов. В обоих случаях инструменты выпускаются эмитентом с целью привлечения стороннего актива в компанию.

Обращение обеих разновидностей финансовых регуляторов регулирует действующее законодательство

Причем все ЦБ обращаются на фондовом рынке по определенным параметрам, предусмотренных действующим законодательством. Отметим, сходством здесь становится и унифицированная форма документации. Кроме того, подобные портфели продаются по номинальной либо рыночной стоимости. «Классические» формы обоих видов допускают свободное обращение и передачу третьим лицам.

Обратите внимание! Подобные технологии повышают ликвидность вложений кредиторов. Однако и тут встречаются отдельные нюансы.

Помните, держатели ценных бумаг обеспечивают заемный капитал, однако степень доходности и риска в обеих ситуациях разнится. Отметим, эти понятия взаимосвязаны. Причем умеренный рост прибыли в определенных обстоятельствах приводит к падению дохода из-за повышения инфляции. Соответственно, в таких случаях говорят о высоких рисках для получения выгоды.

Отличия пакетов

Теперь перейдем к различиям рассматриваемых портфелей. Для упрощенного понимания приведем стандартный пример. Приобретая векселя или облигации, кредитор вкладывает деньги в развитие предприятия-эмитента, руководствуясь анализом функционирования этой компании. Иными словами, для определения степени риска инвестору потребуется изучить хроники работы конкретной организации, обратив внимание на выплаты кредиторской задолженности.

Долговые ценные бумаги предполагают своеобразное «кредитование» эмитента на особых условиях

Если корпорация за время существования успешно рассчитывалась с кредиторами, а рост экономики здесь стабильный, инвестор вправе считать риски вложения низкими. Именно этой схемой и руководствуются при покупке долговых бумаг. Однако в ситуации с приобретением портфеля долевой документации, дела обстоят сложнее.

Фондовый рынок акций функционирует по иным принципам. Тут долгосрочный инвестор приобретает портфель перспективной компании, которая показывает стабильный рост экономики. Целью таких действий становится получение дохода, а основанием – прогнозы роста ликвидности предприятия.

Соответственно, ошибка или неточность предварительных расчетов оборачивается для кредитора потерей актива либо существенным уменьшением капитала. К такому результату приводят форс-мажорные обстоятельства, которые сложно предсказать. Смена политического курса или падение экономики становятся причинами неоправданных ожиданий спонсоров.

Долевые ценные бумаги предусматривают высокую прибыль при повышенном риске потери актива

Отметим, на бирже акций используется и принцип краткосрочного инвестирования. В таких ситуациях задачей трейдера становится получение выгоды на изменении курса стоимости бумаг. Здесь, соответственно, спросом пользуются акции предприятий, курс которых колеблется со значительными отклонениями. Такое свойство обеспечивает выручку при покупке пакета по низкой цене и продаже по увеличенной стоимости.

Нюансы

Таким образом, отличием между обоими рынками бумаг становится присутствие рисков получения вероятной прибыли. В ситуации с покупкой портфеля долговых регуляторов инвестор рассчитывает на средний размер выручки и низкие шансы потери актива. Отметим, этот момент и становится особенностью игры на такой бирже.

Главным отличием тут становится степень риска для получения дохода

Если же речь идет об участии в торгах по приобретению пакета долевых бумаг, здесь финансисты говорят о высоких рисках. Однако в таких обстоятельствах повышается и предполагаемый доход.

Причем краткосрочные операции с ЦБ тут менее рискованны, нежели долгосрочные вклады. Хотя подобное капиталовложение увеличивает ликвидность актива, если сравнивать с банковским депозитом.

Учитывая невысокие ставки финансовых учреждений, растущая инфляция «съедает» часть вероятного дохода на протяжении депозитного срока.

Отметим, участие в торгах на акционной бирже нуждается в опыте игрока – ведь в подобных ситуациях необдуманное решение чревато потерей актива, а иногда и банкротством инвестора. В случае же с фондовым долговым рынком, риски сведены к минимуму. Поскольку даже после признания неплатежеспособности эмитента, держатель облигаций вправе взыскать средства в порядке первой очереди.

Второе отличие — тип получения прибыли

Кроме того, отличия прослеживаются и в разнице получения дохода. В ситуации с долговыми ЦБ держатель получает прибыль в виде купонов или процентов. Иногда практикуются и вложения «на интерес». Долевые же обязательства предполагают выручку в форме выплат дивидендов или ренты. Кроме того, тут практикуется и прибыль, полученная на разнице стоимости.

О трастовых сертификатах

Такие бумаги становятся популярным вложением для российских инвесторов. Проясним ситуацию и разберемся, трастовый сертификат – долговая или долевая ценная бумага. Если подходить с позиции классических экономических определений, сертификаты считаются редко используемой формой долговых бумаг.

Трастовый сертификат — неэмиссионная именная ценная бумага, используемая при доверительном управлении капиталом инвестора

Трастовый сертификат отличает определение. Здесь сказано, что это – неэмиссионная именная ценная бумага, которая выпущена для привлечения капиталов инвесторов с целью доверительного управления. Соответственно, схема здесь такая: компания или частный кредитор передает капитал посреднику, который размещает активы в наиболее перспективных предприятиях.

Отметим, после окончания периода действия сертификата вкладчик получает сумму вложений и выручку, которая образовалась при обороте этих средств.

Обратите внимание, такие портфели регистрируются после подписания соглашений о доверительном управлении активом. Причем здесь инвестор перечисляет позиции вероятных источников получения прибыли, куда планируется вложение средств. Учитывайте, тут допускается и передача прав по сертификату третьему субъекту. Соответственно, такое решение становится уместным, если инвестор беспокоится о ликвидности сделки.

Заключительные положения

Подытоживая вышесказанное, отметим, что эмитенты, выпускающие портфели ценных бумаг, стремятся решить стратегические задачи развития организации с минимальными вложениями. Привлекая потенциальных инвесторов надежными условиями сделки, трассанты обеспечивают рост экономики и увеличивают оборотный актив компании.

Игра на бирже с долевыми ценными бумагами требует богатого опыта и глубоких знаний

Однако подобные сделки становятся обоюдовыгодными – ведь инвестор заинтересован в приумножении собственного капитала. Причем вложения в ЦБ обеспечивают заемные средства средними гарантиями возврата при относительно невысоких рисках потерь. Что касается новичков на бирже, тут уместно начать именно с приобретения трастовых сертификатов.

Учитывайте, опытные трейдеры-посредники грамотно распорядятся вверенными деньгами, а кредитор гарантированно получит вложения обратно.

Надеемся, что тема отличий и сходства двух главных видов ценных бумаг окажется полезной информацией для читателей. Предлагаем изучить и материал о привлечении к субсидиарной ответственности – такие методики взыскания недоимки отличаются противоречиями в судебной практике, но считаются цивилизованным путем решения проблемы.

Виды SSL сертификатов

SSL сертификаты классифицируются по уровню проверки или безопасности домена. Область действия SSL ограничивается одним или несколькими именами хостов.

Обычные SSL сертификаты

Обычный SSL сертификат подтверждает только домен. Например, сертификация такого типа для www.example.ru не будет действовать для поддомена mail.example.ru. По усмотрению сертифицирующего центра, если вы приобретаете обычную SSL-защиту для www-хоста (www.example.ru), она также может включать корневой домен.

Виртуальный хостинг сайтов для популярных CMS:

DLE

IPB

SGC сертификаты

SGC (Server-Gated Cryptography) сертификат – устаревший вид технологии безопасности, созданный в 1990 годах для коммуникации между финансовыми институтами. Сейчас этот тип сертификации заменяется на более эффективный и безопасный SSL и применяется только для облегчения использования старых небезопасных веб-браузеров с HTTPS-протоколом. В основном используется для внутренних локальных ресурсов, если на предприятии используются устаревшие сервера/ПО в силу каких-либо причин.

Мы не рекомендуем использовать такие сертификаты для сайтов, доступных в сети Интернет, т.к. часть современных браузеров будет отмечать соединение как незащищенное.

Пример в Google Chrome:

Wildcard сертификаты

SSL шифрование на неограниченное количество поддоменов осуществляется с использованием единого Wildcard сертификата. Поддомены должны иметь при этом одинаковое имя домена второго уровня, SSL не будет работать на нескольких уровнях. Например, если вы приобретаете сертификат на *.example.ru, он также покрывает one.example.ru и two.example.ru, но не включает mail.two.example.ru.

Т.к. Wildcard сертификаты стоят в разы дороже, перед покупкой подумайте – действительно ли Вы имеете (или планируете создавать) большое количество поддоменов? Если нет (например, Вы точно знаете, что вам нужны сертификаты для домена и двух поддоменов – demo-domen.ru, forum.demo-domen.ru, blog.demo-domen.ru) – возможно, дешевле будет купить 3 отдельных SSL сертификата. Из недостатков – настраивать и своевременно продлевать их действие нужно будет для каждого из них.

SAN сертификаты

SAN (Subject Alternative Name) сертификация позиционируется как многодоменная, защищающая несколько разных доменов. Несколько разных доменных имен может быть включено в такой сертификат, позволяя ему работать на любом из предусмотренных доменов. Например, вы можете защитить www.domain.com, mail.domain.com, anotherdomain.com в одном сертификате.

Чаще всего в в SAN сертификат входит 5 доменов, за доплату их число можно увеличить.

EV сертификаты

EV (Extended Validation) сертификация используется для HTTPS-сайтов и программного обеспечения, подтверждая юридическое лицо, которое контролирует веб-сайт или ПО. Получение этого типа сертификата требует аутентификации запрашивающей компании центром сертификации. Такой уровень защиты используется ведущими компаниями и поставщиками ПО. Переход к EV сертификации повышает доверие со стороны клиентов.

Сертификаты c поддержкой IDN

IDN-домен (Internationalized Domain Name) поддерживает имена, в которых используются нелатинские символы. Проблема в том, что имя домена, которое указывает посетитель на своем родном языке, отличается от действительного имени домена в сети. В обычном сертификате адрес такого сайта конвертируется из одной кодировки в другую.

Пользователь ожидает, что транзакция осуществляется для сайта с известным ему именем, и просто прервет ее выполнение, увидев другое не вызывающее доверия имя. Поэтому SSL сертификат, предназначенный для IDN-домена, должен поддерживать естественное отображение символов имени домена.

Какой SSL сертификат выбрать для сайта, интернет-магазина?

SSL сертификат обеспечивает защиту веб-сайта, делая его безопасным для ввода посетителем конфиденциальной информации. Как правило, это потребуется, если на сайте есть процедура регистрации пользователей, проводятся онлайн-транзакции с банковскими картами.

Для информационных сайтов и блогов тоже рекомендуется приобретение SSL сертификата с минимальным уровнем безопасности, поскольку такие сайты выше позиционируются поисковыми системами как защищающий данные посетителей. Выбор верного способа защиты для сайта определяется стоимостью, удобством и уровнем доверия пользователей.

SSL сертификаты с проверкой домена

Сертификация с проверкой домена (DV) позволяет посетителю убедиться, что он находится на правильном сайте и домен зарегистрирован в центре сертификации. Процесс проверки выполняется по электронной почте или DNS и занимает от нескольких минут до нескольких часов. Если сертификат действителен и подписан доверенным центром, браузер устанавливает защищенное соединение по HTTPS-протоколу.

Это самый недорогой вариант сертификации, для него не определяется информация об организации, поэтому не следует применять его в коммерческих целях. Такой уровень защиты рекомендуется использовать там, где нет проблем с безопасностью, например, на защищенных внутренних системах или информационных сайтах.

SSL сертификаты с проверкой компании

Сертификаты с проверкой компании (OV) работают аналогично SSL с проверкой домена, но в этом случае потребуется предоставить дополнительную документацию для идентификации организации, которой принадлежит сайт. Дополнительный этап проверки означает, что посетители будут более уверены в безопасности сайта.

Такая сертификация подтверждает право собственности на домен и сведения об организации: ее название и место регистрации. Выдача занимает от нескольких часов до нескольких дней из-за процесса проверки компании. Это стандартный тип сертификата, который требуется для коммерческого сайта.

SSL сертификаты с расширенной проверкой компании, они же Extended Validation или EV сертификаты

Сертификаты с расширенной проверкой компании (EV) подтверждают право собственности на домен, информацию об организации, а также ее юридический статус. Этот вид сертификации обеспечивает самый высокий уровень безопасности, идентифицируя компанию, стоящую за доменом. При этом адресная строка браузера содержит название организации, оповещая посетителей сайта, что они имеют дело с проверенной компанией на защищенном домене.

Выдача занимает от нескольких дней до нескольких недель из-за процесса расширенной проверки, который происходит гораздо строже, чем в других случаях. Сертификаты такого типа подходят для сайтов электронной коммерции, когда необходимо установить защищенное соединение между вашим сайтом и посетителем.

Self-Signed SSL сертификат

Self-Signed SSL сертификат подписывается не официальным удостоверяющим центром, а его собственным создателем. Такая сертификация бесплатна, однако она считается менее надежной, поскольку не обеспечивает проверку данных о компании и домене. Большинство сертификатов этого типа не могут быть отозваны, что позволяет злоумышленнику получить доступ к сайту и ко всем данным, использованным на нем.

Обычно браузер оповещает посетителя сайта об использовании такого уровня защиты и рекомендует прервать просмотр страницы по соображениям безопасности. Самозаверенные сертификаты зачастую устанавливают на выделенный сервер или на внутренних сайтах. При этом сотрудникам советуют игнорировать предупреждения браузера, так как внутренний сайт является безопасным, однако это стимулирует опасное поведение при просмотре внешних сайтов.

Вместо Self-Signed рекомендуется приобрести более надежный SSL сертификат, который оправдает свою стоимость, обеспечив необходимый уровень защиты. Использование SSL сертификатов, выданных официальным центром сертификации, устраняет предупреждения системы безопасности браузера, защищая репутацию компании и увеличивая доверие клиентов, а также поощряет безопасное поведение персонала в интернете.

Бесплатный ssl-сертификат для интернет магазина на Битрикс и Битрикс24

Обухов Константин

12.01.2017
Как широко известно, с 1 января 2017 года наступает три важных события в жизни интернет-магазинов.

  1. Google и Mozilla выпускают новые версии популярных браузеров Google Chrome и Firefox, которые начнут помечать сайты, работающие без ssl-сертификата, как небезопасные. И предупреждать об этом пользователей. Ничего ужасного, но доверие к таким сайтам упадет.
  2. Поисковые системы начнут приоритетно ранжировать сайты, работающие по HTTPS, с ssl-сертификатом
  3. Начинается подготовка к передаче данных об онлайн-оплатах в интернет-магазинах в ФНС через операторов фискальных данных. Обязательное подключение интернет-касс начнется с 01 июля 2017. Для передачи потребуется SSL-сертификат. Настроить ваш интернет-магазин на

Как же получить заветный ssl-сертификат, да еще и бесплатно? Об этом читайте под катом.

План работ
SSL-сертификат используется для шифрования трафика между сервером интернет-магазина и браузером пользователя. В большинстве случаев он гарантирует, что никто не «подслушивает» и не подменяет данные.
Итак, нам нужно перевести интернет-магазин на HTTPS. Эта задача решается в несколько крупных шагов:

  1. Достать ssl-сертификат.
  2. Установить ssl-сертификат на хостинг.
  3. Настроить сайт.
  4. Оповестить поисковые системы о переходе на HTTPS.

Обо всем по порядку.
Шаг 1. Покупаем или устанавливаем бесплатный SSL-сертификат
Базовый ssl-сертификат (domain validation — DV)
Обычно ssl-сертификат покупают на 1 год или более (далее его надо снова покупать). Минимальная стоимость ssl-сертификата — 600 рублей, эту цену легко найти через поисковик. За 600 рублей можно купить базовый ssl-сертификат компании Comodo на 1 год для одного доменного имени, например, magazin.ru и www.magazin.ru.
Сертификаты такого уровня дают нормальную базовую защиту (проверяется лишь факт принадлежности вам домена), признаются большинством браузеров, но не имеют дополнительного подтверждения: имя вашей компании не покажется при проверке сертификата. Заветная иконка замочка будет показана на сайте, но большинство браузеров отобразят его в сером цвете. Как, например, у нас:

Если вам нужен сертификат на несколько доменов, его стоимость возрастет. Wildcard-сертификаты, которые можно устанавливать на любое число поддоменов, например, test.magazin.ru, piter.magazin.ru, ufa.magazin.ru, стоят от 7 тысяч рублей и выше. Для крупных магазинов, может быть, это не является проблемой, но средние и небольшие магазины лучше потратят эти деньги на развитие сайта.
Подведем итог. Базовый ssl-сертификат:

  1. шифрует трафик;
  2. повышает доверие клиентов к сайту;
  3. подтверждает только доменное имя сайта.
  4. добавляет заветный замочек в браузере к адресу сайта;
  5. можно купить на один или несколько поддоменов;
  6. доступен физическим или юридическим лицам;
  7. дешев и сердит).

Деловой ssl-сертификат (Company/Organization validation)
Отличается от базового процедурой проверки компании, которая покупает сертификат, по ЕГРЮЛ. Имя компании, адрес ее местонахождения будут отображены в подробной информации о сертификате. Но при этом «заветный замочек» все еще будет серым. Начинается стоимость таких сертификатов от 5000 р. Для кириллических доменов, есть сведения, дешевле.

Характеристики делового ssl-сертификата:

  1. шифрует трафик;
  2. повышает доверие клиентов к сайту;
  3. подтверждает доменное имя, название и адрес компании;
  4. добавляет серый замочек к адресу сайта в браузере;
  5. можно купить на один или несколько поддоменов;
  6. доступен только юридическим лицам;
  7. добавляет компанию в реестр на dnb.ru или yp.ru
  8. не столь дешевый, но и менее сердитый.

SSL-сертификат с расширенной проверкой (тот самый зеленый замочек — EV)
Дает максимальную уверенность пользователям, но нужен только для крупных интернет-магазинов. Для получения сертификата надо пройти расширенную проверку телефона компании, юридического лица, должностного лица, подающего заявку. Процедура ускоряется, если у компании уже есть регистрация в реестрах.
Платим от 13 000 рублей и, наконец, искатели заветного зеленого замочка достигают своей мечты:

Характеристики расширенного ssl-сертификата:

  1. шифрует трафик также, как и другие типы сертификатов;
  2. дает максимальное доверие клиентов к сайту;
  3. выводит имя компании рядом с адресом сайта.
  4. добавляет зеленый замочек в браузере к адресу сайта;
  5. можно купить только на один домен;
  6. доступен только юридическим лицам;
  7. добавляет компанию в реестр на dnb.ru или yp.ru
  8. Самый дорогой вариант.

Как получить ssl-сертификат бесплатно
Чтобы сделать интернет безопаснее, крупные западные корпорации совместно с фондом Electronic Frontier Foundation основали первый некоммерческий авторизационный центр Let’s Encrypt. Подробнее — см. по (на английском). Сервис разработан и поддерживается компанией Internet Security Research Group (ISRG).
Суть этого сервиса в том, что теперь любой сайт может бесплатно получить ssl-сертификат и продлять его без ограничения срока.
Получить бесплатный ssl-сертификат можно двумя способами:

  1. Вручную на сайте и далее через раздел Ручной режим —
  2. Полуавтоматически или автоматически (в зависимости от ПО вашего сервера, на котором работает интернет-магазин, сайт или Битрикс24) через бота Certbot

Если Вы решили получить сертификат вручную, а затем установить его на свою Виртуальную машину Bitrix VM, воспользуйтесь .
Шаг 2. Установка ssl-сертификата на сервер
Если ваш интернет-магазин, сайт или портал Битрикс24 в коробке работает на виртуальной машине Битрикс, вы сможете установить и настроить ssl-сертификат от Let’s Encrypt при наличии у вас базовых знаний по администрированию серверов на Unix. Если вы не хотите тратить свое время или не обладаете такими навыками, пожалуйста, обращайтесь в нашу компанию, мы поможем перевести ваш сайт на HTTPS.
Если сайт работает на shared-хостинге, стоит обратиться к хостинг-провайдеру для установки ssl-сертификата. Процедура установки сертификата Let’s Encrypt на сервера без виртуальной машины принципиально не отличаются. В помощь Вам будет этот мастер на сайте Certbot — .
Стоит заметить, что для большинства веб-серверов Certbot работает в автоматическом режиме: он получает, устанавливает и продляет сертификаты самостоятельно. Например, Apache на Ubuntu Server 16.10. А вот для Nginx на CentOS 6 не содержит в своем репозитории Certbot и работает только в ручном режиме. Подробнее — см.
Установка ssl-сертификата Let’s Encrypt на Виртуальную машину Битрикс
Как мы помним, за работу по HTTPS в виртуальной машине Битрикс отвечает NGINX. Мы вернемся к нему, как только получим сертификат.
1. Для начала зайдем установим Certbot
Зайдем на сервер с интернет-магазином по ssh с правами root и установим Certbot в папку /usr/local/sbin напрямую в с сайта EFF.

$ cd /usr/local/sbin $ sudo wget https://dl.eff.org/certbot-auto

Получить последнюю версию Certbot можно также с Github (убедитесь, что у вас есть git):

$ cd /tmp

$ git clone https://github.com/certbot/certbot

Далее переходим в директорию со свежескаченным Certbot-ом и дадим боту права на исполнение:

$ sudo chmod a+x /usr/local/sbin/certbot-auto

2. Приступим к получению сертификата.
Для получения сертификата необходимо выполнить команду с вызовом Certbot’a с определенными параметрами:

$ certbot-auto certonly —webroot —agree-tos —email myemail@domen.ru -w /home/bitrix/www/ -d domen.ru -d www.domen.ru

где,
—webroot — специальный ключ, повышающий надежность работы Certbot под Nginx;
—agree-tos — автоматическое согласие с Условиями предоставления услуг (Terms of Services;
—email myemail@domen.ru — Ваш e-mail. Будьте внимательны, его нельзя изменить, он потребуется, например, для восстановления доступа к домену и для его продления;
-w /home/bitrix/www — указываем корневую директорию сайта основного сайта; если у вас несколько многосайтовая конфигурация, укажите путь к доп. сайту — /home/bitrix/ext_www/
-d domen.ru — через ключ -d мы указываем, для каких доменов мы запрашиваем сертификат. Начинать надо c домена второго уровня domen.ru и через такой же ключ указывать поддомены, например, -d www.domen.ru -d opt.domen.ru
Скрипт Certbot начнем свою работу, предложит установить дополнительные пакеты, соглашайтесь и ждите окончания работы.
При успешном завершении работы Certbot поздравляет Вас с генерацией сертификата и выдает следующее сообщение:
* — если вместо этого сообщения появляется ошибка «Failed to connect to host for DVSNI challenge «, то вам необходимо настроить ваш Firewall так, чтобы был разрешен TCP-трафик на портах 80 и 443.
** — если вы используете сервисы типа Cloudflare для вашего домена, предварительно отключите их на время генерации сертификата.
3. Настройка Nginx
Ура! Мы получили бесплатный ssl-сертификат на 3 месяца. Нам осталось только настроить Nginx и поставить автоматическое продление сертификата на cron.
Но сначала давайте повысим уровень безопасности и сгенерируем группу . Это повысит уровень шифрования и поможет нам в дальнейшем получить оценку А+ при проверке сертификата.

$ openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

Ждем примерно 2-4 минуты и переходим к конфигурированию Nginx.
Открываем файл /etc/nginx/bx/conf/ssl.conf и прописываем в нем пути к только что полученным сертификатам.
Ниже вы найдете дополнительные директивы Nginx, которые позволяет получить вам оценку А+ при проверке сертификата на sslanalyzer:
* — в строке ssl_ciphers необходимо удалить все переносы после двоеточий.
Сохраняем изменения, тестируем конфигурацию Nginx:

$ nginx -t

Если никаких ошибок нет, перезапускаем Nginx:

$ service nginx reload

И идем проверять свежеустановленный сертификат на сервисе SSL Analyzer — .
Если вы все сделали правильно, то должны увидеть приятную картинку — как эта:

Для автоматического продления сертификата необходимо добавить в крон команды запуска certbot:

$ nano /etc/crontab

И добавляем строки

30 2 * * 1 /usr/local/sbin/certbot-auto renew >> /var/log/le-renew.log 35 2 * * 1 /etc/init.d/nginx reload

Теперь каждый понедельник в 2-30 наш сертификат(ы) будет продляться автоматически, результат запишется в лог. В 2-35, после продления сертификата, перезагрузится конфигурация Nginx.
Вручную же можно продлить сертификаты следующей командой:

$ certbot-auto renew

Так как наши сертификаты уже сгенерированы, Certbot их просто продлит.
Если теперь вы хотите переключить весь трафик на HTTPS, то в ВМ Битрикс это делается согласно .
Итог

  1. Мы узнали, зачем нужен ssl-сертификат, какие виды сертификатов бывают.
  2. Получили бесплатный ssl-сертификат или купили его.
  3. Установили ssl-сертификат на сайт и проверили, что теперь сайт работает по HTTPS, как того добивался великий Google и иже с ними.

Про настройку интернет-магазина под HTTPS и оповещение поисковиков мы напишем в следующей статье.
Спасибо всем, кто дочитал до конца.
Просмотров: 3961

SSL-сертификаты начального уровня

Такие сертификаты подойдут физическим лицам. Они предназначены только для шифрования данных, передаваемых между вашим сервером и браузером посетителя. Сертификаты начального уровня не подтверждают бизнес-статус компании.

SSL-сертификаты начального уровня используются:

  • для защиты административной части сайта;
  • для доступа сотрудников и партнёров к внутренним системам компании через каналы сети Интернет;
  • для доступа к системам статистики.

Такие сертификаты не рекомендуется использовать в системах электронной торговли (интернет-магазины и платные сервисы) и общедоступных биллинговых системах.

К сертификатам начального уровня относятся:

Что такое Wildcard-сертификат?

Сертификаты GlobalSign DomainSSL и GlobalSign AlphaSSL

DomainSSL и AlphaSSL — самые популярные сертификаты начального уровня, доступные любому пользователю. Мгновенно обеспечивают защиту вашего сайта. Сертификаты совместимы с большинством браузеров мобильных устройств.

Сертификаты предоставляются с опцией Wildcard (защитой поддоменов) или без неё (на один домен):

  1. При заказе AlphaSSL или DomainSSL на один домен, cертификат защищает только домен, для которого он заказан (включая поддомен «www»). Например, при заказе SSL-сертификата для www.reg.ru, будет защищён также reg.ru, но не будет защищён hosting.reg.ru или spasibo.reg.ru.
  2. Если вы хотите защитить другие поддомены (например, hosting.reg.ru, spasibo.reg.ru и т.п.), при заказе выберите сертификат с поддержкой Wildcard. Подробнее о защите поддоменов читайте в статье: Защита поддоменов. SSL-сертификат с поддержкой Wildcard.

Особенности сертификатов DomainSSL и AlphaSSL:

  • автоматическая ежедневная проверка на Malware и фишинг;
  • доступен компаниям и частным лицам;
  • неограниченное бесплатное переиздание сертификата в течение срока действия;
  • предоставление документов о работе компании не требуется;
  • шифрование до 256 бит в современных браузерах и браузерах без ограничений на шифрование;
  • высокая совместимость с интернет-браузерами;
  • обеспечивает проверку доменного имени;
  • выдаётся код для установки логотипа GlobalSign Trusted Site в качестве дополнительного подтверждения.

Обращаем внимание, что техническая поддержка центра сертификации GlobalSign предусмотрена только для сертификата DomainSSL и не осуществляется для AlphaSSL.

SSL-сертификаты бизнес-класса

Сертификаты доступны только для юридических лиц. Такой сертификат подтверждает бизнес-статус компании. При выдаче сертификата компания проверяется аттестационным центром.

К сертификатам бизнес-класса относятся:

Что такое Wildcard-сертификат?

Сертификат GlobalSign OrganizationSSL

OrganizationSSL — это сертификат с повышенным уровнем достоверности, который позволяет посетителям сайта быть уверенными в надёжности компании.

Сертификаты предоставляются с опцией Wildcard (защитой поддоменов) или без неё (на один домен):

  1. При заказе AlphaSSL или DomainSSL на один домен, cертификат защищает только домен, для которого он заказан (включая поддомен «www»). Например, при заказе SSL-сертификата для www.reg.ru, будет защищён также reg.ru, но не будет защищён hosting.reg.ru или spasibo.reg.ru.
  2. Если вы хотите защитить другие поддомены (например, hosting.reg.ru, spasibo.reg.ru и т.п.), при заказе выберите сертификат с поддержкой Wildcard. Подробнее о защите поддоменов читайте в статье: Защита поддоменов. SSL-сертификат с поддержкой Wildcard.

Особенности сертификата OrganizationSSL:

  • автоматическая ежедневная проверка на Malware и фишинг;
  • недоступен для частных лиц, предназначен только для компаний;
  • шифрование до 256 бит в современных браузерах и в браузерах без ограничений на шифрование;
  • высокая совместимость с интернет-браузерами;
  • подтверждает существование компании и её бизнес-уровень;
  • неограниченное бесплатное переиздание сертификата в течение срока действия;
  • выдаётся код для установки логотипа GlobalSign Trusted Site в качестве дополнительного подтверждения.

SSL-сертификаты с расширенной проверкой: EV SSL

EV SSL-сертификаты это:

  • наивысший уровень доверия;
  • самый высокий класс защиты среди SSL-сертификатов;
  • надёжная защита счетов ваших клиентов от фишинговых атак;
  • зелёная иконка в браузере с названием вашей компании:


Такой сертификат оформляется только на юридическое лицо. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.

К сертификатам уровня EV относятся:

Сертификат GlobalSign ExtendedSSL

ExtendedSSL — это сертификат высшего уровня проверки. При посещении сайта посетители сразу поймут, что компания работает на профессиональном уровне.

Особенности сертификата ExtendedSSL:

  • автоматическая ежедневная проверка на Malware и фишинг;
  • выпускается только для выбранного домена (для поддоменов требуется покупка дополнительных сертификатов);
  • доступен только компаниям;
  • адресная строка браузера подсвечивается зелёным цветом;
  • требуется предоставление документов о работе компании, существование компании проверяется;
  • шифрование до 256 бит в современных браузерах и в браузерах, не имеющих ограничения на шифрование;
  • высокая совместимость с интернет-браузерами;
  • обеспечивает проверку доменного имени;
  • подтверждает существование компании и её бизнес-уровень;
  • неограниченное бесплатное переиздание сертификата в течение срока действия;
  • выдаётся код для установки логотипа Thawte Trusted Site в качестве дополнительного подтверждения.

Почему GlobalSign?

GlobalSign — рекомендованный сертификационный центр, который является единственным аккредитованным WebTrust удостоверяющим центром мирового класса. SSL-сертификаты GlobalSign обладают высоким уровнем доверия. Перед активацией сертификата GlobalSign полностью проверяет компанию, от которой поступил заказ, и вправе отказать в выдаче, если обнаружит, что компания занимается теневым бизнесом или нарушает права других организаций.

Что означает зелёная иконка SSL-сертификата в браузере?

Зелёная иконка в браузере означает, что на сайте установлен SSL-сертификат, заверенный центром сертификации. Соединение с таким сайтом является защищённым и безопасным.

Зелёная иконка с названием компании означает, что на сайте установлен SSL-сертификат расширенной проверки (EV-сертификат). Такие сертификаты гарантируют высочайший класс защиты и подтверждают, что компания, которой принадлежит сайт, работает в рамках правового пространства страны, в которой зарегистрирована.

Часто встречаются сайты, на которых установлен SSL-сертификат, но часть контента работает по небезопасному протоколу http://. Такие сайты браузер помечает красными иконками сертификата или иконками с жёлтым треугольником. Причины описаны в статье: Эта страница содержит другие ресурсы, которые не являются безопасными.

Иконки сертификатов могут выглядеть по-разному в зависимости от браузера. Кликнете по значку сертификата, чтобы получить больше информации. Также вы можете выбрать ваш браузер и ознакомиться со справкой:

  • Google Chrome: Как просмотреть сведения о соединении с сайтом;
  • Mozilla Firefox: Как мне узнать, является ли мое соединение с веб-сайтом безопасным;
  • Yandex браузер: Protect: показатели безопасности сайтов.

Срок действия сертификата

Большинство SSL-сертификатов можно заказать на срок от 1 года (ровно 365 дней, даже если год високосный) до 4 лет (1460 дней).

Датой начала действия сертификата считается дата его активации. Если вы заказали сертификат сроком на 1 год 5 февраля 2019 года и после проверки всех документов его активировали 25 февраля 2019 года, то датой начала действия считается 25 февраля 2019 года, а датой окончания действия 25 февраля 2020 года.

Дата окончания действия сертификата указана в Личном кабинете:

Читайте о продлении SSL-сертификата в статье: Продление SSL-сертификата.

Цифровые SSL сертификаты. Разновидности, как выбрать?

Существует достаточно много цифровых сертификатов, каждый из которых служит для своих целей. Самые распространенный тип сертификатов это естественно SSL сертификаты, которые также имеют несколько подвидов. Также существуют Code Signing сертификаты, Website Anti Malware Scanner сертификаты и Unified Communications сертификаты.
Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.
Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.
Начнем с самых распространенных SSL сертификатов.
SSL сертификаты самый распространенный на данный момент тип сертификатов в Интернет. Чаще всего они используются в интернет-магазинах, то есть на сайтах, где есть функция заказа и где клиент вводит свои персональные данные. Для того, чтобы эти данные в момент передачи из браузера на сервер невозможно было перехватить используется специальный протокол HTTPS, который шифрует все передаваемые данные.
Для того, чтобы активировать возможность работы протокола HTTPS как раз и нужны цифровые SSL сертификаты (также потребуется выделенный IP для конкретного сайта).

Что такое SSL сертификат?

SSL — это сокращение от Secure Socket Layer — это стандартная интернет технология безопасности, которая используется, чтобы обеспечить зашифрованное соединение между веб-сервером (сайтом) и браузером. SSL сертификат позволяет нам использовать https протокол. Это безопасное соединение, которое гарантирует, что информация которая передается от вашего браузера на сервер остается приватной; то есть защищенной от хакеров или любого, кто хочет украсть информацию. Один из самых распространенных примеров использования SSL — это защита клиента во время онлайн транзакции (покупки товара, оплаты).

Как получить SSL сертификат?

Самый простой и бесплатный способ — это использовать, так называемый, самоподписной сертификат (self-signed), который можно сгенерировать прямо на веб-сервере. К слову во всех самых популярных панелях управления хостингом (Cpanel, ISPmanager, Directadmin) эта возможность доступна по умолчанию, поэтому техническую сторону процесса создания сертификата мы сейчас опустим.
Плюс самоподписного сертификата — это его цена, точнее ее отсутствие, так как вы не платите ни копейки, за такой сертификат. А вот из минусов — это то, что на такой сертификат все браузеры будут выдавать ошибку, с предупреждением, что сайт не проверен.

То есть для служебных целей и для внутреннего использования такие сертификаты подходят, а вот для публичных сайтов, а тем более для сайтов, которые продают услуги, такие сертификаты противопоказаны. Посудите сами, хотели бы вы, чтобы ваш клиент при заказе услуги увидел вот такую ошибку на весь экран? Как показывает практика, большинство клиентов такая страничка вводит в ступор и отбивает желание продолжать заказ дальше.
Почему же браузеры выдают такое предупреждение для самоподписных сертификатов и как этого избежать? Чтобы ответить на этот вопрос потребуется немного рассказать про сами принципы работы SSL сертификатов.

По какому принципу работает SSL сертификат?

Итак для того, чтобы получить SSL сертификат самое первое, что нужно сделать, это сформировать специальный запрос на выпуск сертификата, так называемый (Certificate Signing Request). При формировании этого запроса вам будет задан ряд вопросов, для уточнения деталей о вашем домене и вашей компании. После завершения ваш веб сервер создаст 2 типа криптографических ключей — приватный ключ и публичный ключ.
Публичный ключ не является секретным и он помещается в запрос CSR.
Вот пример такого запроса:
——BEGIN CERTIFICATE REQUEST——
MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAlVBMQ0wCwYDVQQIEwRLaWV2MQ0wCwYD
VQQHEwRLaWV2MRQwEgYDVQQKEwtIb3N0QXV0b21hdDEQMA4GA1UECxMHaG9zdGlu
ZzEmMCQGCSqGSIb3DQEJARYXc3VwcG9ydEBob3N0YXV0b21hdC5jb20xHDAaBgNV
BAMTE3d3dy5ob3N0YXV0b21hdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
ggEKAoIBAQDTg7iUv/iX+SyZl74GcUVFHjFC5IqlTNEzWgLWrsSmxGxlGzXkUKid
NyXWa0O3ayJHOiv1BSX1l672tTqeHxhGuM6F7l5FTRWUyFHUxSU2Kmci6vR6fw5c
cgWOMMNdMg7V5bMOD8tfI74oBkVE7hV95Ds3c594u7kMLvHR+xui2S3z2JJQEwCh
mflIojGnSCO/iv64RL9vjZ5B4jAWJwrruIXO5ILTdis41Z1nNIx3bBqkif0H/G4e
O5WF6fFb7etm8M+d8ebkqEztRAVdhXvTGBZ4Mt2DOV/bV4e/ffmQJxffTYEqWg8w
b465GdAJcLhhiSaHgqRzrprKns7QSGjdAgMBAAGgADANBgkqhkiG9w0BAQUFAAOC
AQEAuCfJKehyjt7N1IDv44dd+V61MIqlDhna0LCXH1uT7R9H8mdlnuk8yevEcCRI
krnWAlA9GT3VkOY3Il4WTGg3wmtq6WAgLkVXQnhIpGDdYAflpAVeMKil8Z46BGIh
KQGngL2PjWdhMVLlRTB/01nVSKSEk2jhO8+7yLOY1MoGIvwAEF4CL1lAjov8U4XG
NfQldSWT1o8z9sDeGsGSf5DAXpcccx0gCyk90HFJxhbm/vTxjJgchUFro/0goVpB
credpKxtkwBMuCzeSyDnkQft0eLtZ9b9Q4+ZNDWsPPKxo/zWHm6Pa/4F4o2QKvPC
Px9x4fm+/xHqkhkR79LxJ+EHzQ==
——END CERTIFICATE REQUEST——
Данные которые содержатся в этом ключе можно легко проверить с помощью сервисов CSR Decoder. Как пример: CSR Decoder 1 или CSR Decoder 2. Второй сервис выдает больше информации о CSR и проверяет ее на валидность, поле Signature в результатах проверки.
Если мы вставим такой запрос в форму для его расшифровки, то увидим, какие данные содержатся в публичном ключе.
CSR Information:
Common Name: tuthost.ua — доменное имя, которое мы защищаем таким сертификатом
Organization: TutHost — название организации, которой принадлежит домен
Organization Unit: Hosting department — подразделение организации
Locality: Kiev — город, где находится офис организации
State: Kiev — область или штат
Country: UA — двухбуквенный код, страны офиса.
Email: support@tuthost.com — контактный email технического администратора или службы поддержки
Важный момент — обратите внимание на поле Country — формат этого поля подразумевает только двухбуквенный код по стандарту ISO 3166-1, если вы не уверены в коде вашей страны, то проверить его можно например тут: Таблица ISO-3166-1. Я обращаю внимание на это поле, потому, что самая частая ошибка у наших клиентов при генерации запроса CSR — это неправильный код страны. И как следствие с такой CSR произвести выпуск сертификата невозможно.
После того как CSR сгенерирован вы можете приступать к оформлению заявки на выпуск сертификата. Во время этого процесса центр сертификации (CA — Certification Authority) произведет проверку введенных вами данных, и после успешной проверки выпустит SSL сертификат с вашими данными и даст возможность вам использовать HTTPS. Ваш сервер автоматически сопоставит выпущенный сертификат, со сгенерированным приватным ключем. Это означает, что вы готовы предоставлять зашифрованное и безопасное соединение между вашим сайтом и браузером клиентов.

Какие данные содержит в себе SSL сертификат?

В сертификате хранится следующая информация:

  • полное (уникальное) имя владельца сертификата
  • открытый ключ владельца
  • дата выдачи ssl сертификата
  • дата окончания сертификата
  • полное (уникальное) имя центра сертификации
  • цифровая подпись издателя

Что такое центры сертификации (CA)?

Это организация, которая обладает правом выдачи цифровых сертификатов. Она производит проверку данных, содержащихся в CSR, перед выдачей сертификата. В самых простых сертификатах проверяется только соотвествие доменного имени, в самых дорогих производится целый ряд проверок самой организации, которая запрашивает сертификат. Об этом мы поговорим ниже.
Так вот, разница между самоподписными бесплатным и платными сертификатами, выданными центром сертификации как раз и заключается в том, что данные в сертификате проверены центром сертификации и при использовании такого сертификата на сайте ваш посетитель никогда не увидит огромную ошибку на весь экран.
Говоря в общем, SSL сертификаты содержат и отображают (как минимум одно из) ваше доменное имя, ваше название организации, ваш адрес, город и страницу. Также сертификат всегда имеет дату окончания и данные о центре сертификации, ответственного за выпуск сертификата. Браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: он не просрочен ли сертификат, потом он проверяет, выпущен ли сертификат известным ему центром сертификации (CA) используется ли сертификат на сайте, для которого он был выпущен.
Если один из этих параметров не проходит проверку, браузер отображает предупреждение посетителю, чтобы уведомить, что этот сайт не использует безопастное соединение SSL. Он предлагает покинуть сайт или продолжить просмотр, но с большой осторожностью. Это последнее, что вы должны увидеть ваши потенциальные клиенты.
Центров сертификации существует достаточно много, вот перечень самых популярных:
Comodo — работает с 1998 штабквартира в Jersey City, New Jersey, США.
Geotrust — основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, США
Symantec — бывший Verisign в состав которого входит и Geotrust. Купил всех в 2010 году.
Thawte — основан в 1995, продан Verisign в 1999.
Trustwave — работает с 1995, штабквартира Chicago, Illinois, США.
Как видим самый крупный игрок на рынке SSL сертификатов это Symantec, который владеет тремя крупнейшими центрами сертификации — Thawte, Verisgin и Geotrust.

Есть ли разница в каком центре сертификации заказывать сертификат?

Основное отличие между разными центрами сертификации — в цене сертификатов и в том, в каком количестве браузеров установлен их корневой сертификат. Ведь если в браузере нет корневного сертификата этого центра сертификации, то посетитель с таким браузером все равно получит ошибку при входе на сайт с сертификатом от такого центра.
Что касается перечисленных выше центров сертификации, то их корневые сертификаты установлены в, пожалуй, 99,99% всех существующих браузеров.
Чтобы проверить, корневые сертификаты каких центров сертификации установлены в вашем браузере, достаточно в настройках вашего браузера найти такую опцию. (В Chrome Настройки -> показать дополнительные настройки -> управление сертификатами -> Доверенные корневые центры сертификации). В Chrome установлено более 50 таких корневых сертификатов.
Важный момент — частенько у клиентов возникала ситуация, когда SSL сертификат на серверe установлен, но при заходе на сайт браузер все равно выдает ошибку. Такая ситуация может возникнуть или из-за отсутствия в файле ca-bundle.crt корневого сертификата центра выдавшего сертификат или из-за того, что корневой сертификат устарел. Корневые сертификаты также имеют свой срок действия (в браузерах они обновляются при обновлении браузера).
С июля 2010 года сертификационные центры перешли на использование ключей 2048bit RSA Keys, поэтому для корректной работы всех новых сертификатов необходимо устанавливать новые корневые сертификаты.
Если новые корневые сертификаты не установлены — это может вызвать проблемы с корректной установкой сертификата и распознаванием его некоторыми из браузеров.
Ссылки на странички центров сертификации, где можно скачать новые корневые сертификаты даны ниже.
RapidSSL Certificate

  • Installation Instructions
  • Root CA Certificates

GeoTrust SSL Certificates

  • Installation Instructions
  • Root CA Certificates

Thawte SSL Certificates

  • Installation Instructions
  • Root CA Certificates

VeriSign SSL Certificates

  • Installation Instructions
  • Root CA Certificates

Покупать сертификаты напрямую у центров сертификации невыгодно, так как цена для конечных пользователей у них существенно выше, чем для партнеров, к тому, же если вам нужно закрыть такую покупку в бухгалтерии, то с этим тоже будут сложности. Выгоднее всего покупать такие сертификаты через партнеров. Партнеры закупают сертификаты оптом и имеют специальные цены, что позволяет продавать сертификаты намного дешевле, чем напрямую в центре сертификации.
Итак мы вплотную подошли к видам SSL сертификатов.

Какие виды SSL сертификатов существуют?

Между собой сертификаты отличаются свойствами и уровнем валидации.

Типы сертификатов по типу валидации

  • Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV).
  • Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV).
  • Сертификаты, с расширенной проверкой (Extendet Validation — EV).

Разберемся с ними по порядку:

Сертификаты, подтверждающие только домен

Это самые простые сертификаты, это ваш выбор если сертификат вам нужен срочно, так как выпускаются они автоматически и моментально.
При проверке такого сертификата отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата.
Важный момент, что это письмо может быть отправлено только на так называемый approver email, который вы указываете при заказе сертификата. И к адресу approver email есть определенные требования, он должен быть либо в том же домене для которого вы заказываете сертификат, либо он должен быть указан в whois домена.
Если вы указываете email в том же домене, что и сертификат, то указывать любой emal тоже нельзя, он должен соответствовать одному из шаблонов:
admin@
administrator@
hostmaster@
postmaster@
webmaster@
Еще один Важный момент: иногда сертификаты с моментальным выпуском попадают на дополнительную ручную проверку Центром сертификации, сертификаты для проверки выбираются случайным образом. Так что всегда стоит помнить, что есть небольшой шанс, что ваш сертификат будет выпущен не моментально.
Сертификаты SSL с валидацией домена выпускаются, когда центр сертификации проверил, что заявитель имеет права на указанное доменное имя. Проверка информации об организации не проводится и никакая информация об организации в сертификате не отображается.

Сертификаты с валидацией организации.

В таком сертификате уже будет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов как правило от 3 до 10 рабочих дней, зависит от центра сертификации.

Процесс выдачи сертификатов OV

После получения запроса на выпуск сертификата с проверкой организации центр сертификации производит проверку, реально ли существует такая организация, как указано в CSR и принадлежит ли ей указанный домен.

Что проверяется в таких случаях?

У разных центров сертификации проверка несколько отличается, поэтому приведу общий список пунктов, которые могут быть проверены или запрошены:

  1. Наличие организации в международных желтых страницах — проверяется не всеми центрами сертифации
  2. Наличие в whois домена названия вашей организации — а вот это уже проверят обязательно, и если такое название там не указано от вас скорей всего затребуют гарантийное письмо, в котором нужно указать, что домен действительно принадлежит организации, иногда могут затребовать подтверждение от регистратора
  3. Свидетельство о государственной регистрации — требуют все реже, чаще сейчас производится проверка через специальные компании, которые производят проверку существования организации по своим каналам. Например для Украины вас могут проверить по базе ЕДРПОУ
  4. Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
  5. Проверочный звонок — все чаще правильность телефона проверяют осуществляя звонок, на номер телефона, указанный вами в заказе. При звонке спросят сотрудника, указанного в административном контакте. Не у всех центров сертификации есть русскоговорящие сотрудники, поэтому предупредите человека, который отвечает на телефон, что возможен звонок от англоязычной компании.

Сертификаты с расширенной проверкой.

Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат.
Вот как это выглядит на сайте у Thawte.

Такие сертификаты обладают наибольшим уровнем доверия, среди продвинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.
SSL cертификаты с расширенной проверкой (EV) выпускаются только когда центр сертификации (CA) выполняет две проверки, чтобы убедиться, что организация имеет право использовать определенный домен плюс центр сертификации выполняет тщательную проверку самой организации. Процесс выпуска сертификатов EV стандартизирован и должен строго соотвествовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:

  1. Должен проверить правовую, физическую и операционную деятельности субъекта.
  2. Должен убедиться, что организация соответствует официальным документам.
  3. Необходимо убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
  4. Необходимо убедиться, что организация полностью авторизована для выпуска EV сертификата.

Список того, что конкретно будут проверять такой же как и для сертификатов с проверкой организации.
EV сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций. Для выпуска необходимо 10-14 дней.
Вторая часть правил актуальная для центра сертификации и описывает критерии, которым центр сертификации должен соответствовать перед тем, как получить разрешение на выпуск EV сертификата. Она называется, EV правила аудита, и каждый год происходит проверка на соответствие этим правилам.

Типы SSL сертификатов по своим свойствам.

Тут все понятно, это сертификаты, которые выпускаются автоматически и подтверждают только домен. Подходят для всех сайтов.
Цена: от 20$ в год

Сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров, которые поддерживали только 40 или 56 бит шифрование. При использовании этого сертификата уровень шифрования принудительно повышается до 128 бит.
За все время у нас не купили не одного такого сертификата. Мое мнение, что они уже не нужны, разве что для внутреннего использования в больших корпорациях, где сохранилось очень старое железо.
Цена: от 300 $ в год.

Нужны в том случае, когда вам кроме основного домена нужно обеспечить шифрование также на всех поддоменах одного домена. Например: есть домен domain.com и вам нужно установить такой же сертификат на support.domain.com, forum.domain.com и billing.domain.com
Совет: посчитайте количество поддоменов, на которые нужен сертификат, иногда бывает выгодней купить отдельно несколько обычных сертификатов.
Цена: от 180$ в год. Как видите, если у вас меньше 9 поддоменов, то дешевле купить обычный сертификат, хотя в использовании будет удобней один wildcard.

Пригодится, если вы хотите использовать один сертификат для нескольких разных доменов, размещенных на одном сервере. Обычно в такой сертификат входит 5 доменов и их количество можно увеличивать с шагом в 5.
Цена: от 395 $ в год

Это те самые сертификаты с расширенной проверки и зеленой строкой в браузере, о которых мы говорили выше. Получить их может только юридическое лицо, коммерческая, некоммерческая или государственная организация.
Цена: от 250 $ в год.

Как правило, не у всех центров сертификации указана эта опция в описании сертификата, но не все сертификаты поддерживаются работу с IDN доменами. Поэтому я просто приведу здесь список сертификатов, у которых есть такая поддержка:

Как выбрать самый дешевый сертификат?

У Geotrust самые дешевые SAN сертификаты. Сертификаты с валидацией только сайта, а также wildcard выгоднее всего у RapidSSL. EV сертификаты самые дешевые также у Geotrust. SGC сертификаты есть только у Thawte и Verisign, но у Thawte дешевле.

Чем еще отличаются сертификаты между собой

  • Скоростью выпуска. Быстрее всего выпускаются сертификаты с валидацией только домена, дольше всего с EV валидацией, от 7 рабочих дней.
  • Количество перевыпусков сертификата — у большинства центров сертификации неограниченно. Требуется, если допустили ошибку в данных об организации.
  • Гарантия — для некоторых сертификатов есть гарантия от 10.000 $. Это гарантия скорее не для покупателя сертификата, а для посетителя сайта, где установлен сертификат. В случае если посетитель сайта с таким сертификатом пострадает от фрауда и потеряет деньги, то центр сертификации обязуется их ему компенсировать до суммы указанной в гарантии. То есть центр сертификации как бы дает гарантию на свои сертификаты и что их невозможно установить на «левый» домен. На практике такие случае мне не известны поэтому на этот параметр можно не обращать внимание.
  • Бесплатный тестовый период — из платных сертификатов есть у symantec secure site, geotrust rapidssl, comodo positive ssl, thawte ssl web server. Также можете для тестов использовать бесплатные сертификаты: StartSSL™ Free
  • Возврат средств — есть почти у всех сертификатов в течении 30 дней, хотя бывают и сертификаты без периода moneyback

Полезные утилиты:

  1. OpenSSL — самая распространенная утилита для генерации открытого ключа (запроса на сертификат) и закрытого ключа.
    http://www.openssl.org/
  2. CSR Decoder — утилита для проверки CSR и данных, которые в нем содержаться, рекомендую использовать перед заказом сертификата.
    CSR Decoder 1 или CSR Decoder 2
  3. DigiCert Certificate Tester — утилита для проверки корректно самого сертификата
    http://www.digicert.com/help/?rid=011592
    http://www.sslshopper.com/ssl-checker.html

В следующих частях постараюсь рассказать про остальные виды сертификатов.
P.S. с удовольствием отвечу на любые вопросы связанные с выбором SSL сертификата в комментариях.
P.P.S. Желающие получить 30% скидку на ssl сертификаты — пишите в личку.
Update: Важный момент — некоторые сертификаты умеют работать на доменах с www и без www, то есть для защиты www.domain.com и domain.com достаточно одного сертификата, но заказывать его нужно на www.domain.com
Актуально для сертификатов:


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *