Для чего и где применяется SSL-сертификат?

В течение долгого времени существовал только SSL сертификат для www.mojoportal.com, но в последнее время был приобретён Wildcard SSL сертификат, который можно использовать  для «anything.mojoportal.com». Другими словами, теперь есть SSL на «demo.mojoportal.com», «storedemo.mojoportal.com» и на все сообщества сайтов на иностранном языке (таких как «de.mojoportal.com» и «nl.mojoportal.com»).

Создание сертификатов

Создание корневого сертификата (CA — Certification Authority)

Корневой сертификат нужен для подписывания других выдаваемых сертификатов, необходим если вы сами выпускаете сертификаты

Создание сертификата сервера

Для создания сертификата сервера должне быть создан CA-сертификат как это описано выше

Создание сертификата клиента

Для создания сертификата сервера должне быть создан CA-сертификат как это описано выше

  • Открываем System / Certificates
  • Создаем новый, заполняем поля:
    • Вкладка General
      • Name: Любое понятное имя, например Client1
      • Country: RU
      • State: 24 (можно писать что угодно, я предпочитаю Край/Регион/Область или их цифровые коды)
      • Locality: YourCity (город)
      • Organization: MyCompany (наименование компании)
      • Unit: IT (подразделение)
      • Common Name: Необходимо указать имя клиента (как вариант — белый IP или полное доменное имя)
      • Subject : Оставляем пустым
      • Key Size: 2048 (или 4096 если вы параноик)
      • Days Valid: 3650 (10 лет или дефолтные 365 на 1 год) — в зависимости от вашего доверия к клиенту
    • Вкладка Key Usage
      • Key Usage: должны быть включены только «tls client»
  • Проверяем все ли заполнено верно
  • Нажимаем Apply — сертификат создан
  • Нажимаем Sign чтобы подписать сертификат
    • Certificate: Выбираем свой сертификат (если он выбран)
    • CA: выбираем сертификат CA
    • CA CRL Host: пропускаем
    • Нажимаем Start
    • Ждем окончания процесса подписания
  • В результате этих действий должен появиться сертификат с нашим именем и он должен иметь флаги KI

Выводы

В этой статье мы рассмотрели, как получить сертификат Let’s Encrypt с помощью клиента Certbot. Если у вас есть полный доступ к вашему серверу, то сделать это достаточно просто. Поэтому бесплатный сертификат Let’s Encrypt может получить каждый. На тоже используются SSL-сертификаты от этого удостоверяющего центра, только создаются они с помощью автоматического скрипта панели управления Vesta. А для чего вы используете Let’s Encrypt? Напишите в комментариях!

Выводы

Похожие записи:

  • Создание сертификата OpenSSL 8 августа, 2017
  • Как пользоваться TrueCrypt 5 декабря, 2017

Статья распространяется под лицензией Creative Commons ShareAlike 4.0 при копировании материала ссылка на источник обязательна.

Выводы

Tweet Pin It

Как работает SSL-сертификат

Вернемся к нашему примеру с заказом в интернет-магазине. Если вы вводите данные своей карты на сайте, который защищен сертификатом, браузер превращает эти данные в случайный набор символов, и в таком виде сообщает их серверу. Расшифровать такое «послание» можно только с помощью ключа, который хранится на сервере. Ключ сложный и состоит из множества символов, так что подобрать его — задача непосильная. А это значит, что при таком способе передачи информации ваши личные данные надежно защищены от злоумышленников.

Обращать внимание на наличие сертификата на сайте стоит не только тогда, когда вы там что-то покупаете. Если вы регистрируетесь, оставляете свой e-mail или номер телефона, проследите, чтобы рядом с адресом сайта отображался «замочек», как на скриншоте ниже, а не сообщение «Не защищено».

Когда мы разобрались, зачем сайту нужен SSL-сертификат, узнаем, что он из себя представляет. «Физически» это набор файлов, который формируется следующим образом:

  • Создается запрос, содержащий информацию о домене и будущем владельце сертификата — Certificate Signing Request (CSR), в переводе означает «запрос на подпись сертификата», а также называется публичным ключом.
  • CSR отправляется Центру сертификации (Certificate Authority, CA).
  • CA выпускает сертификат на основе данных в запросе и предоставляет свои промежуточные и корневой сертификаты.
  • На сервере, где был создан CSR, формируется приватный ключ.
  • Ваш сертификат + сертификаты доверенного центра + приватный ключ + ваш сайт = безопасное соединение​.

Когда на сайте есть сертификат, вы можете увидеть, кому он выдан, кем выдан и до какой даты действует. Нужно кликнуть «по замочку» и нажать «Посмотреть сертификат».

Подведем итог простыми словами: SSL-сертификат приобретается для доменного имени, а устанавливается там, где вы покупаете хостинг для сайта. Заказать сертификат обычно можно там же, где и хостинг, например, в Timeweb, что очень удобно.

Если вы уже установили сертификат, но сайт открывается по незащищенному протоколу http, нужно настроить перенаправление с http на https — на стороне хостинг-провайдера, где размещен ваш сайт. Тогда при переходе на сайт будет сразу устанавливаться безопасное соединение. При этом важно, чтобы все элементы на сайте передавались по защищенному протоколу, иначе возникнет ошибка «mixed content» (означает «смешанное содержимое»). Что это такое, хорошо описано в статье «Чем опасна ошибка смешанного контента на сайте».

Установка SSL сертификата

Когда вы получите свой сертификат, это будет простой текстовый файл, сохраните его на диске, на сервере с расширением «.cer». Затем нажмите на ссылку в IIS «Завершить запрос сертификата» (как показано на втором скриншоте). После этого выберите сохраненный ранее файл «*.cer».

ВАЖНО:. Когда Вы устанливаете сертификат, необходимо ввести имя для него, убедитесь, что он был назван «*». Если будет совершена данная ошибка, то IIS 7.x не позволит Вам установить SSL заголовка узла. Ниже показаны последствия того, что название сертификата не начинается с «*.»:

Вы видите,что он становится серым и нет возможности установить имя хоста. Если Вы не установили имя хоста, то при попытке настроить сертификат для другого сайта, это вызовет ошибку, и второй сайт не запустится.

Обратите внимание, если Вы совершили эту ошибку, её можно исправить, но не в IIS. Нажмите кнопку Пуск и введите «MMC» для загрузки Microsoft Management Console. Затем «добавить оснастку» в управления сертификатами. Оттуда вы можете щелкнуть правой кнопкой на сертификате и выбрать свойства, где будет возможность редактировать имя.

После ввода корректного имени сертификата, будет восстановлена возможность вводить имя хоста.

Есть и другие способы установления SSL заголовков хоста из командной строки, если эта функция отключена в пользовательском интерфейсе, но этот проще..

Надеюсь, эта статья поможет вам сэкономить время.

Дополнительные ресурсы (ссылки найдены при исследовании этого вопроса)

  • IIS 7 and SSL
  • SSL Host Headers in IIS

Оригинал на английском

Google учитывает HTTPS протокол как сигнал ранжирования

А знаете ли вы, что поисковая система Google с августа 2014 года стала учитывать протокол https как сигнал ранжирования. Google пошел на этот шаг, чтобы мотивировать вебмастеров перевести свои сайты на безопасное соединение использующее механизмы SSL или TLS. Использование HTTPS, по мнению представителей Google, повысит безопасность пользователей в интернете, убережёт веб-ресурсы от хакерских атак, взломов и утечек конфиденциальной информации.

Значимость нового сигнала ранжирования

На текущий момент, в третьем квартале 2014 года, новый сигнал ранжирования имеет не высокое влияние на формирование поисковой выдачи и распространяется менее чем на 1% общемировых запросов. Разумеется, использование защищённого соединения никогда не будет иметь такого веса для алгоритмов Google, как высококачественный контент, однако со временем его значение немного усилится.

Советы Google по переходу на HTTPS

Для тех, кому важны лучшие позиции в выдаче Google и кто желает получить доступ к усовершенствованному инструментарию Google Webmaster Tools для HTTPS ресурсов, Google предлагает следующие инструкции по переключению сайта на защищённый вариант протокола передачи данных:

  • Определитесь, какой вид сертификата вам необходим: для одного сайта или wild-card сертификат.
  • Применяйте 2048-битные ключи SSL-сертификатов.
  • Используйте относительные URL-ы для ресурсов, находящихся на одном защищённом домене.
  • Не препятствуйте сканированию HTTPS сайта роботами путём закрытия его в
  • Позвольте поисковикам проиндексировать все страницы вашего сайта, которые только возможно. Избегайте использования мета-тега noindex.

Для проверки корректности работы SSL-сертификатов рекомендует использовать специализированный инструмент от GlobalSign, одного из ведущих сертификационных центров (Certificate authority – CA) специализирующихся на выдаче сертификатов.

Читайте также:  Запускаем программу в скрытом режиме в Windows 10