Проверить ssl сертификат: Проверка SSL | LeaderSSL

Содержание

Nginx SSL, Nginx https | Установка SSL-сертификата на Nginx | REG.RU

В статье мы рассмотрим, как установить SSL-сертификат на веб-сервер Nginx.

Перед установкой SSL убедитесь, что вы его заказали. Затем перейдите в Личный кабинет, кликните по строке нужного SSL-сертификата и убедитесь, что у услуги статус «Активна»:

как установить сертификат на vps 1

Если услуга неактивна, используйте инструкцию в зависимости от типа сертификата: Как активировать сертификаты: AlphaSSL и DomainSSL или Как активировать сертификаты: OrganizationSSL и ExtendedSSL.

Как установить SSL-сертификат на Nginx

После активации сертификата вам будут доступны необходимые данные для его установки, подробнее в статье Где взять данные для установки SSL-сертификата.

Также вы можете использовать для установки сертификат, купленный в сторонней компании.

Рассмотрим, как выполняется установка и настройка Nginx SSL:

  1. org/HowToStep»> 1.

    Объедините три сертификата (сам SSL-сертификат, корневой и промежуточный сертификаты) в один файл. Для этого создайте на ПК новый текстовый документ с именем your_domain.crt (your_domain — доменное имя сайта, который вы хотите защитить). Создать его можно при помощи блокнота или другого текстового редактора. Поочередно скопируйте и вставьте в созданный документ каждый сертификат. После вставки всех сертификатов файл должен иметь вид:

    -----BEGIN CERTIFICATE-----
    #Ваш сертификат#
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    #Промежуточный сертификат#
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    #Корневой сертификат#
    -----END CERTIFICATE-----

    Обратите внимание: один сертификат идёт следом за другим, без пустых строк.

  2. 2.

    Создайте файл your_domain.key и скопируйте в него содержание приватного ключа сертификата.

  3. 3.

    Загрузите созданные файлы your_domain.crt и your_domain.key на сервер в директорию /etc/ssl/. Директория может быть иной, например

    /etc/nginx/ssl/your_domain.com.

  4. 4.

    Откройте конфигурационный файл Nginx и отредактируйте виртуальный хост вашего сайта, который вы хотите защитить сертификатом. Выполните минимальную для работы настройку, добавив в файл следующие строки:

    server {
    
        listen 443 ssl;
    
        server_name your_domain.com;
        ssl_certificate /etc/ssl/your_domain.crt;
        ssl_certificate_key /etc/ssl/your_domain.key;
    }

    Где:

    your_domain.com — домен сайта,

    /etc/ssl/your_domain.crt — путь до созданного файла с тремя сертификатами,

    /etc/ssl/your_domain.key — путь до файла с приватным ключом.

    Минимальная установка и настройка выполнена. Далее вы можете добавить расширенные настройки конфигурационного файла либо сразу перейти к шагу 12.

  5. 5.

    Если вы хотите, чтобы сайт работал не только по защищённому соединению (https://), но и по незащищенному (http://), то нужно создать единый HTTP/HTTPS сервер. Для этого в конфигурационном файле Nginx необходимо иметь две секции server{} для каждого типа соединения.

    Добавьте в секцию server{}, которую вы создали на шаге 4, следующую строку:

  6. 6.

    Также вы можете дополнительно оптимизировать работу Nginx HTTPS-сервера. SSL-операции задействуют дополнительные ресурсы сервера. Чтобы снизить количество операций, можно повторно использовать параметры SSL-сессий. Они хранятся в кеше SSL-сессий. Можно задать тип кеша (в примере это shared-кеш, разделяемый между всеми рабочими процессами) и его размер в байтах (в 1 Мб кеша помещается около 4000 сессий) с помощью директивы ssl_session_cache.

    Также можно увеличить таймаут кеша (время, в течение которого клиент повторно использует параметры сессии) директивой ssl_session_timeout: по умолчанию он равен 5 минутам. Можно настроить время работы одного keepalive-соединения с помощью директивы keepalive_timeout.

    Добавьте в конфигурационном файле в секции server{} строки:

    ssl_session_cache   shared:SSL:10m;
    
    ssl_session_timeout 10m;
    
    keepalive_timeout 70;
  7. 7.

    Вы можете указать протоколы SSL, которые поддерживает сервер:

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  8. 8.

    Чтобы при использовании протоколов SSLv3 и TLS серверные шифры были более приоритетны, чем клиентские, добавьте следующую строку:

    ssl_prefer_server_ciphers on;
  9. ca.crt и скопируйте в него содержимое корневого сертификата. Загрузите этот файл на сервер в директорию, где хранятся ранее созданные файлы. В нашем примере это /etc/ssl/.

    Затем добавьте в конфигурационном файле в секции server{} строки:

    ssl_stapling on;
    
    ssl_trusted_certificate /etc/ssl/ca.crt;
    
    resolver 8.8.8.8;

    Где:

    /etc/ssl/ca.crt — путь до файла с корневым сертификатом,

    8.8.8.8 — DNS-сервер.

  10. 10.

    Сохраните и закройте конфигурационный файл Nginx.

  11. 11.

    Если вы не остановились на шаге 4, то секция server{} в конфигурационном файле с расширенными настройками будет выглядеть так:

    server {
    
    listen 443 ssl;
    
    listen 80;
    server_name your_domain.com;
      ssl_certificate /etc/ssl/your_domain.crt;
    ssl_certificate_key /etc/ssl/your_domain.key;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    keepalive_timeout 70;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_stapling on;
    ssl_trusted_certificate /etc/ssl/ca.crt;
    resolver 8.8.8.8;
    }
  12. 12.

    Чтобы изменения вступили в силу, перезагрузите сервер Nginx:

    sudo /etc/init.d/nginx restart

Готово, вы установили SSL-сертификат на Nginx.

Помогла ли вам статья?

220 раз уже
помогла

предназначение, отличия и проверка – База знаний Timeweb Community

Когда мы используем интернет для поиска информации, покупки вещей или бронирования билетов на самолет, мы никогда не задумываемся о безопасности сайта и защите своих данных.

Да и зачем это, если перед глазами популярный сервис, который давно себя зарекомендовал. 

Другое дело, когда спустя сотню запросов мы находим нужную вещь для покупки, но она расположена на сомнительном ресурсе. И тут уже возникает вопрос: «А не будет ли мне это стоить всего моего состояния?». Давайте разберемся, как уберечь себя от потери личных данных и проверить сайт на наличие SSL и TLS сертификатов. 

Сертификаты SSL и TLS: зачем они нужны

Продолжим разбор ситуации с покупкой чего-либо через интернет: представим себе, что мы собрались полететь на солнечное Бали из Москвы. Мы нашли сайт, который не представляет собой ничего подозрительного, и поэтому спокойно вводим на нем все необходимые данные и бронируем билеты на самолет.

В то время, когда на сайте совершается оплата за выбранные билеты, начинают срабатывать сертификаты защиты. Их еще называют SSL и TLS, но они представляют собой развитие одной технологии.

SSL расшифровывается как Secure Socket Layer, что означает «уровень защищенных сокетов». TLS же обозначается как Transport Layer Security, «безопасность транспортного уровня». По своей сути обе технологии занимаются одним делом – защитой пользовательской информации от злоумышленников. 

Их отличие состоит лишь только в том, что TLS основан на уже действующей спецификации SSL 3.0. А сам SSL уже давно устарел, разработчики редко его используют как единственную защиту. Чаще всего можно увидеть связку двух сертификатов SSL/TLS. Такая поддержка обеспечивает работу как с новыми, так и со старыми устройствами.

Использование такой защиты можно встретить в различных ситуациях: при передаче сообщений, отправке личных данных, транзакциях и т.д.

Специфика работы сертификатов SSL/TLS

Вернемся к ситуации с покупкой билетов на сайте. Как мы выяснили, при отправке личных данных начинают действовать сертификаты. Но что происходит, если защита не производится должным путем? 

Без подключения SSL/TLS контакт между пользователем и веб-сайтом происходит через канал HTTP. А это означает, что вся передаваемая информация находится в открытом виде: доступ к данным лежит на поверхности. То есть, когда происходит связь между пользователем и сайтом, например, при оплате билетов на самолет, вся информация, включая паспортные данные, может быть получена злоумышленником. Такое происходит, если на сайте не используются сертификаты защиты. 

При подключении SSL/TLS, пользователь устанавливает соединение с веб-сервером HTTPS, который защищает все конфиденциальные данные при передаче. Кроме того, срабатывает привязка криптографического ключа к передаваемой информации и выполняется шифровка данных, которую никто не сможет перехватить. 

SSL/TLS используют ассиметричное шифрование для аутентификации пользователя и симметричное для сохранения целостности личной информации. 

Как проверить сертификаты SSL/TLS

Мы рассмотрим 5 наиболее популярных онлайн-инструментов для обнаружения слабых мест веб-сайта. Что ж, давайте приступим.  

SeoLik

Начнем с отечественного онлайн-сервиса, который позиционирует себя как инструмент для проверки надежности сайта. Помимо основной задачи здесь также можно выполнить сканирование портов, узнать свой IP-адрес и произвести другие действия с сайтом. 

Проверяем наличие HTTPS соединения:

  1. Открываем в браузере сервис Seolik и вводим ссылку на необходимый сайт, затем кликаем по кнопке «Анализ». 
  2. В результате анализа рассматриваемого ресурса, перед нами отобразится вся необходимая информация: название сертификата, срок действия, серийный номер и другие атрибуты, которые могут быть полезны для разработчиков. 

Использование данного сервиса поможет проверить сайт всего за несколько минут и уберечь от потери личной информации. В данном случае мы можем быть спокойны, сертификат действителен еще 322 дня. 

SSL Shopper

По сравнению с предыдущим сервисом, данный инструмент не столь функционален и поддерживает только англоязычную версию. Давайте посмотрим, как он работает: 

  1. Переходим в онлайн-сервис и вводим ссылку, которую требуется проверить.
  2. После выполнения запроса мы видим, что сайт надежно защищен. 
  3. Если пролистать немного ниже, то можно посмотреть дополнительную информацию о сертификатах.  

Wormly Web Server Tester

Один из самых популярных инструментов для проверки сайтов, который помогает не только узнать о наличии SSL/TLS, но и дает возможность просмотреть данные о шифровании, различные протоколы и многое другое. Работает это следующим образом: 

  1. Открываем сайт и вводим в запрос «Web Server URL» нужную ссылку, затем кликаем по красной кнопке.
  2. Далее будет запущен глубокий анализ, который можно пропустить. Уже на первых этапах тестирования будет сообщено о безопасности ресурса в строке «Expires». 

Данный сервис позволяет просматривать шифры сертификатов, что может быть полезно для веб-разработчиков. 

Immuni Web

Это многофункциональный гигант, который анализирует поддержку протоколов, проверяет на совместимость PCI DSS и делает много всего, что недоступно в предыдущих инструментах. Конечно, здесь можно проверить и сайт на безопасность. 

  1. Переходим по ссылке и в строку запроса «Enter your website or mail server address here» вписываем адрес для проверки. Далее кликаем по кнопке запуска справа от строки. 
  2. Как только появятся результаты, перед нами отобразится новая страница. Пролистываем немного вниз и находим две строчки «Valid From» и «Valid To». Первая информирует о том, когда был выдан сертификат, вторая указывает на окончание срока действия.

При необходимости можно сохранить все результаты в формате PDF. Для этого следует кликнуть по кнопке «Download report». 

SSL Checker

Незаменимый инструмент для разработчиков. Особенностью данного сервиса является то, что в нем можно активировать уведомления, которые будут оповещать об истечении срока действия сертификата.

  1. Переходим по ссылке и вводим адрес. Справа от строки запроса кликаем по кнопке «Check».
  2. Перед нами отобразится вся нужная информация. Для того чтобы напомнить об истечении срока действия сертификата, достаточно кликнуть по кнопке «Remind me SSL is about to expire» и указать свою почту.

На этом моя статья подходит к концу. Теперь вы знаете, как можно проверить SSL и TLS сертификаты на сайте. Спасибо за внимание!

Про установку SSL-сертификатов вы можете почитать тут и тут.

Браузеры и проверка сертификатов — SSL.com

Введение

HTTPS (через SSL /TLS) использует шифрование с открытым ключом для защиты сообщений браузера от чтения или изменения при передаче через Интернет. Серверы предоставляют посетителям браузера открытый ключ, который используется для установления зашифрованного соединения для всех последующих обменов данными.

Тем не менее, просто получая рабочий один только открытый ключ не гарантирует, что он (и, соответственно, сервер) действительно принадлежит правильному удаленному предмет (т.е. человек, компания или организация). Человек-в-середине злоумышленники могут манипулировать сетями для обслуживания своих собственных ключей, тем самым подвергая риску любую связь

Браузеры предотвращают это аутентификации HTTPS-серверы, использующие сертификаты, которые являются цифровыми документами, которые связывать открытый ключ к отдельной теме. Привязка подтверждается наличием доверенного Центр сертификации (CA), такие как SSL.com проверять личность потенциальных владельцев сертификатов с помощью автоматических и ручных проверок соответствующих баз данных.

Эти доверительные отношения означают, что безопасность веб-пользователей не является абсолютной; скорее, он требует, чтобы пользователи доверяли браузерам и центрам сертификации для защиты своей безопасности. Поэтому мы считаем, что в интересах каждого пользователя иметь базовое представление о том, как работает проверка сертификатов.

Обратите внимание, что процесс проверки сертификата (подробно описан в стандартном документе RFC 5280) довольно запутанный. В этой статье мы попытаемся провести вас по одному пути (браузер, проверяющий SSL хоста /TLS сертификат) и перемещаться мимо сложных деталей, которые несущественны для большинства пользователей.

Сертификаты и формат X.509

Сертификаты являются цифровыми файлами во всех отношениях, что означает, что они должны следовать формату файла для хранения информации (например, подписи, ключи, эмитенты и т. Д.). Пока приватный PKI конфигурации могут реализовывать любой формат для своих сертификатов, пользующихся всеобщим доверием PKIs (то есть те, которым доверяют браузеры) должны соответствовать RFC 5280, который требует использования X.509 v3 формат.

X.509 v3 позволяет сертификатам включать дополнительные данные, такие как ограничения использования или информацию о политике, как расширенияс каждым расширением либо критический or не критичный, Браузеры могут игнорировать недопустимые или нераспознанные некритические расширения, но они должны обрабатывать и проверять все критические расширения.

Пути сертификации и обработка пути

Центры сертификации используют закрытый ключ для криптографической подписи всех выданных сертификатов. Такие подписи могут безоговорочно доказать, что сертификат был выдан конкретным центром сертификации и что он не был изменен после его подписания.

Центры сертификации устанавливают права собственности на свой подписывающий ключ, имея сертификат, выданный самостоятельно (называемый корень) для соответствующего открытого ключа. ЦС должны соблюдать строго контролируемые и проверенные процедуры для создания, управления и использования корня, а для минимизации подверженности обычно используют корень для выпуска промежуточный сертификаты. Эти промежуточные звенья могут затем использоваться для выдачи сертификатов их клиентов.Браузеры поставляются со встроенным списком доверенных корней. (Это корни из центров сертификации, которые прошли строгие критерии включения браузера.) Чтобы проверить сертификат, браузер получит последовательность сертификатов, каждый из которых подписал следующий сертификат в последовательности, соединяя корень подписывающего CA с сервером. сертификат.

Эта последовательность сертификатов называется путь сертификации. Корень пути называется доверять якорь а сертификат сервера называется лист or конечный объект сертификат.

Путь Строительство

Часто браузерам приходится рассматривать несколько путей сертификации, пока они не найдут действительный для данного сертификата. Несмотря на то, что путь может содержать сертификаты, которые должным образом «связываются» вместе с известным якорем, сам путь может быть отклонен из-за ограничений на длину пути, имя домена, использование сертификата или политику.

Создание и оценка всех возможных путей — это дорогостоящий процесс, выполняемый для каждого нового сертификата, с которым сталкивается браузер. Браузеры реализовали различные оптимизации, чтобы минимизировать количество отклоненных возможных путей, но углубление в такие детали выходит далеко за рамки этой статьи.

Проверка пути

После создания пути сертификации кандидата браузеры проверяют его, используя информацию, содержащуюся в сертификатах. Путь действителен, если браузеры могут криптографически доказать, что, начиная с сертификата, непосредственно подписанного якорем доверия, соответствующий закрытый ключ каждого сертификата использовался для выдачи следующего в пути, вплоть до конечного сертификата.

Алгоритм валидации пути сертификации

RFC 5280 описывает стандартный алгоритм что браузеры следуют, чтобы проверить путь сертификации сертификатов X. 509.

Как правило, браузеры перебирают все сертификаты в пути, начиная с якоря доверия (т. Е. Корневого сертификата), проверяя основную информацию и критические расширения каждого сертификата.

Если процедура завершается с последним сертификатом в пути без ошибок, то путь считается допустимым. Если возникают ошибки, путь помечается как неверный.

Основная обработка сертификата

Независимо от каких-либо расширений, браузеры должны всегда проверять основную информацию о сертификате, такую ​​как подпись или издатель. В следующих разделах показана последовательность проверок, выполняемых браузерами.

1. Браузер проверяет целостность сертификата.

Ошибка подпись На сертификате можно проверить с помощью обычной криптографии с открытым ключом. Если подпись недействительна, то сертификат считается измененным после его выдачи и поэтому отклоняется.

2. Браузер проверяет действительность сертификата.

Сертификат срок годности это интервал времени, в течение которого подписывающий центр сертификации гарантирует, что он будет хранить информацию о своем статусе. Браузеры отклоняют любые сертификаты с периодом действия, заканчивающимся до или начинающимся после даты и времени проверки.

3. Браузер проверяет статус отзыва сертификата.

Ожидается, что после выдачи сертификата он будет использоваться в течение всего срока его действия. Конечно, различные обстоятельства могут привести к тому, что сертификат станет недействительным до истечения срока его действия.

Такие обстоятельства могут включать изменение имени субъекта или предполагаемую компрометацию его закрытого ключа. В таких случаях ЦС должен отозвать соответствующий сертификат, и пользователи также доверяют ЦС, чтобы уведомить браузеры о статусе отзыва своих сертификатов.

RFC 5280 рекомендует ЦС использовать списки отзыва для этой цели.

Списки отзыва сертификатов (CRL)

Центры сертификации периодически выпускают подписанный список отозванных сертификатов с отметкой времени, который называется список отзыва сертификатов (CRL). CRL распространяются в общедоступных репозиториях, и браузеры могут получать и просматривать последний CRL CA при проверке сертификата.

Одним из недостатков этого метода является то, что детализация отзыва по времени ограничена периодом выдачи CRL. Браузер будет уведомлен об отзыве только после того, как запланировано обновление всех выпущенных в настоящее время CRL. В зависимости от политики подписывающего ЦС это может занять час, день или даже неделю.

Протокол статуса сертификата онлайн (OCSP)

Существуют и другие альтернативные способы получения информации о статусе отзыва, наиболее популярным из которых является Протокол статуса сертификата онлайн (ОМТП).

Описано в стандартном документе RFC6960, OCSP позволяет браузеру запрашивать статус отзыва определенного сертификата с онлайн-сервера OCSP (также называемого отвечать). При правильной настройке OCSP намного быстрее и позволяет избежать проблемы задержки обновления CRL, упомянутой выше. К тому же, OCSP Stapling улучшает производительность и скорость.

4. Браузер проверяет эмитента

Сертификаты обычно связаны с двумя объектами:

  1. Ошибка эмитент, который является лицом, владеющим ключом подписи и
  2. Ошибка предмет, который ссылается на владельца открытого ключа, который подтверждает подлинность сертификата.

Браузеры проверяют, что сертификат эмитент поле такое же, как предмет поле предыдущего сертификата в пути. Для дополнительной безопасности большинство PKI реализации также проверяют, что ключ издателя совпадает с ключом, подписавшим текущий сертификат. (Обратите внимание, что это неверно для якоря доверия, поскольку корни выдаются самостоятельно, т. Е. Имеют одного и того же эмитента и субъекта.)

Обработка ограничений

Формат X.509 v3 позволяет ЦС определять ограничения или ограничения на проверку каждого сертификата и его использование в качестве критических расширений. Каждый сертификат в пути может налагать дополнительные ограничения, которым должны подчиняться все последующие сертификаты.

Ограничения сертификатов редко влияют на обычного пользователя Интернета, хотя они довольно часто встречаются в корпоративных решениях SSL. Функциональные ограничения могут служить нескольким рабочим целям, но их наиболее важное использование — смягчение известных проблем безопасности.

5. Браузер проверяет ограничения имени

Частный (но пользующийся всеобщим доверием) промежуточный ЦС с соответствующим ограничения имени может предоставить организации детальный контроль над управлением сертификатами и их выдачей. Сертификаты могут быть ограничены определенным доменом или деревом доменов (т. Е. Включая поддомены) для доменного имени компании или организации. Ограничения имен часто используются для сертификатов промежуточного ЦС, приобретенных у ЦС, пользующегося всеобщим доверием, чтобы помешать промежуточному ЦС выдавать совершенно действительные сертификаты для сторонних доменов (например, google.com).

6. Браузер проверяет ограничения политики

Политика сертификатов — это юридический документ, опубликованный центром сертификации, в котором подробно описываются процедуры, которым они следуют при выдаче и управлении своими сертификатами. Центры сертификации могут выдавать сертификат в соответствии с одной или несколькими политиками, и ссылки на них включены в каждый выпущенный сертификат, чтобы проверяющие стороны могли оценить эти политики, прежде чем принять решение о доверии этому сертификату.

По юридическим и эксплуатационным причинам сертификаты могут накладывать ограничения на политику, которой они могут подвергаться. Если сертификат содержит критические ограничения политики, браузеры должны проверить их, прежде чем продолжить. (Однако критические политические ограничения редко встречаются в реальном мире и поэтому будут игнорироваться до конца этой статьи.)

7. Браузер проверяет основные ограничения (длина пути)

Формат X.509 v3 позволяет издателям определять максимальную длину пути, которую может поддерживать сертификат. Это обеспечивает контроль над тем, как далеко каждый сертификат может быть помещен в путь сертификации. Это действительно важно — браузеры игнорировали длину пути сертификации, пока исследователь не продемонстрировал в 2009 г. презентация, как он использовал листовой сертификат своего веб-сайта, чтобы подделать действительный сертификат для большого веб-сайта электронной коммерции.

8. Браузер проверяет использование ключа

Расширение «использование ключа» указывает назначение ключа, содержащегося в сертификате. Примеры таких целей включают шифрование, подписи, подписание сертификата и так далее. Браузеры отклоняют сертификаты, нарушая ограничения их использования ключа, например обнаруживая сертификат сервера с ключом, предназначенным только для подписи CRL.

9. Браузер продолжает обрабатывать все оставшиеся критические расширения

После обработки упомянутых выше расширений браузеры приступают к проверке всех оставшихся расширений, которые текущий сертификат определяет как критические, прежде чем перейти к следующему. Если браузер достигает конечного сертификата пути без ошибок, то путь считается действительным. Если возникают какие-либо ошибки, путь помечается как недопустимый и безопасное соединение не устанавливается.

Заключение

Всемирная паутина — это сложная система, состоящая из взаимосвязанных и постоянно развивающихся движущихся частей. Таким образом, безопасность браузера не является решенной проблемой, и мы надеемся, что эта статья дала некоторое представление о сложности даже одного компонента, который мы здесь рассмотрели. Доверие играет важную роль в обеспечении вашей безопасности в Интернете, и по этой причине мы настоятельно рекомендуем вам узнать больше о политике сертификации вашего центра сертификации. (Не стесняйтесь просматривать Политика SSL.com здесь, на самом деле.)

Спасибо за выбор SSL.com, где, как мы полагаем, безопаснее Интернет это better Интернет.

Как проверить SSL-сертификат

SSL-сертификат — это цифровой «ключ» сайта, в котором содержится информация о его владельцах и компании. Без него не будет работать протокол HTTPS, гарантирующий безопасность передачи данных через интернет.

 

Как это работает

Браузер пользователя отправляет запрос к серверу и перед тем, как получить данные на устройство пользователя (отобразить сайт), проверяет его SSL-сертификат. Если он работает корректно, сайт загрузится. В итоге данные, которым обмениваются сервер и браузер, оказываются защищены от перехвата. Также это гарантирует, что данные будут переданы в неизменном виде и полностью.

С помощью этой технологии защищаются и персональные данные пользователей: ФИО, номера телефонов, адреса, номера банковских карт, пароли от аккаунтов на сайтах.

Помимо защиты данных SSL-сертификат необходим для SEO-продвижения, без него сайт будет отмечен в выдаче как небезопасный и понижен. Безопасность сайта — один из критериев ранжирования.

 

Где взять SSL-сертификат?

Сертификаты бывают платные и бесплатные. Их можно купить в удостоверяющих центрах, а регистраторы доменов иногда дарят их своим пользователям.

DV-сертификат (Domain Validated) — подойдет физическим и юридическим лицам. Получается только для одного домена. В нем нет информации о владельце сайта, но он способен защитить информацию от перехвата. Такой вариант подходит небольшим сайтам, которые не работают с платежами. Эти сертификаты бесплатны.

OV-сертификат (Organization Validation) — для его получения надо доказать, что компания зарегистрирована, а сайт принадлежит ей. Подходит небольшим магазинам или инфосайтам.

EV-сертификат (Extended Validation) — сертификат с расширенной проверкой. Чтобы получить такой сертификат, надо показать налоговые и некоторые другие документы, сообщающие о легальности деятельности организации. Их используют крупные компании, которые имеют дело с большим количеством данных пользователей и проводят платежи.

 

Как установить и проверить SSL-сертификат

Для установки вам необходим файл самого сертификата, файл ключа и файлы цепочки сертификатов. В личном кабинете хостинга нужно загрузить файлы в соответствующие поля.

После этого проверьте, доступен ли сайт по HTTPS-протоколу. Проверить сертификат сайта можно через сервис от PR-CY.

В результатах проверки вы увидите наличие сертификата и срок его действия.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Проверка сертификатов SSL с помощью Python



Мне нужно написать сценарий, который подключается к куче сайтов в нашей корпоративной интрасети через HTTPS и проверяет, что их сертификаты SSL действительны; что они не просрочены, что они выданы по правильному адресу и т. д. Мы используем наш собственный внутренний корпоративный центр сертификации для этих сайтов,поэтому у нас есть открытый ключ CA для проверки сертификатов.

Python по умолчанию просто принимает и использует сертификаты SSL при использовании HTTPS, поэтому даже если сертификат недействителен, библиотеки Python, такие как urllib2 и Twisted, просто с радостью будут использовать этот сертификат.

Есть ли где-нибудь хорошая библиотека, которая позволит мне подключиться к сайту через HTTPS и проверить его сертификат таким образом?

Как проверить сертификат в Python?

python https ssl-certificate verification
Поделиться Источник Eli Courtwright     06 июля 2009 в 14:17

11 ответов




31

Я добавил дистрибутив к индексу пакета Python, который делает функцию match_hostname() из пакета Python 3. 2 ssl доступной в предыдущих версиях пакета Python.

http:/ / pypi.python.org/pypi/backports.ssl_match_hostname/

Вы можете установить его с помощью:

pip install backports.ssl_match_hostname

Или вы можете сделать его зависимостью, перечисленной в setup.py вашего проекта . В любом случае, его можно использовать так:

from backports.ssl_match_hostname import match_hostname, CertificateError
...
sslsock = ssl.wrap_socket(sock, ssl_version=ssl.PROTOCOL_SSLv3,
                      cert_reqs=ssl.CERT_REQUIRED, ca_certs=...)
try:
    match_hostname(sslsock.getpeercert(), hostname)
except CertificateError, ce:
    ...

Поделиться Brandon Rhodes     15 октября 2010 в 23:06



26

Вы можете использовать Twisted для проверки сертификатов. Основным API является CertificateOptions, который может быть предоставлен в качестве аргумента contextFactory различным функциям, таким как listenSSL и startTLS .

К сожалению, ни Python, ни Twisted не поставляются с кучей сертификатов CA, необходимых для фактической проверки HTTPS, ни логикой проверки HTTPS. Из-за ограничения в PyOpenSSL вы пока не можете сделать это полностью правильно , но благодаря тому, что почти все сертификаты включают предмет commonName, вы можете подобраться достаточно близко.

Вот наивный пример реализации проверяющего клиента Twisted HTTPS, который игнорирует подстановочные знаки и расширения subjectAltName и использует сертификаты центра сертификации, присутствующие в пакете ‘ca-certificates’ в большинстве дистрибутивов Ubuntu. Попробуйте это сделать с вашими любимыми сайтами действительных и недействительных сертификатов :).

import os
import glob
from OpenSSL.SSL import Context, TLSv1_METHOD, VERIFY_PEER, VERIFY_FAIL_IF_NO_PEER_CERT, OP_NO_SSLv2
from OpenSSL.crypto import load_certificate, FILETYPE_PEM
from twisted.python.urlpath import URLPath
from twisted.internet.ssl import ContextFactory
from twisted. internet import reactor
from twisted.web.client import getPage
certificateAuthorityMap = {}
for certFileName in glob.glob("/etc/ssl/certs/*.pem"):
    # There might be some dead symlinks in there, so let's make sure it's real.
    if os.path.exists(certFileName):
        data = open(certFileName).read()
        x509 = load_certificate(FILETYPE_PEM, data)
        digest = x509.digest('sha1')
        # Now, de-duplicate in case the same cert has multiple names.
        certificateAuthorityMap[digest] = x509
class HTTPSVerifyingContextFactory(ContextFactory):
    def __init__(self, hostname):
        self.hostname = hostname
    isClient = True
    def getContext(self):
        ctx = Context(TLSv1_METHOD)
        store = ctx.get_cert_store()
        for value in certificateAuthorityMap.values():
            store.add_cert(value)
        ctx.set_verify(VERIFY_PEER | VERIFY_FAIL_IF_NO_PEER_CERT, self.verifyHostname)
        ctx.set_options(OP_NO_SSLv2)
        return ctx
    def verifyHostname(self, connection, x509, errno, depth, preverifyOK):
        if preverifyOK:
            if self. hostname != x509.get_subject().commonName:
                return False
        return preverifyOK
def secureGet(url):
    return getPage(url, HTTPSVerifyingContextFactory(URLPath.fromString(url).netloc))
def done(result):
    print 'Done!', len(result)
secureGet("https://google.com/").addCallback(done)
reactor.run()

Поделиться Glyph     06 июля 2009 в 17:29



25

PycURL делает это прекрасно.

Ниже приведен краткий пример. Он выдаст pycurl.error , если что-то подозрительно, где вы получите кортеж с кодом ошибки и читаемым человеком сообщением.

import pycurl

curl = pycurl.Curl()
curl.setopt(pycurl.CAINFO, "myFineCA.crt")
curl.setopt(pycurl.SSL_VERIFYPEER, 1)
curl.setopt(pycurl.SSL_VERIFYHOST, 2)
curl.setopt(pycurl.URL, "https://internal.stuff/")

curl.perform()

Вероятно,вам захочется настроить дополнительные параметры, например, где хранить результаты и т. д. Но не нужно загромождать пример несущественными вещами.

Пример того, какие исключения могут быть вызваны:

(60, 'Peer certificate cannot be authenticated with known CA certificates')
(51, "common name 'CN=something.else.stuff,O=Example Corp,C=SE' does not match 'internal.stuff'")

Некоторые ссылки, которые я нашел полезными являются libcurl использует-документы для setopt и getinfo.

Поделиться plundra     17 декабря 2009 в 12:48


  • SSL проверка сертификата с помощью AFNetworking

    Я понимаю использование и необходимость сертификатов SSL. Я ищу подробное объяснение взаимосвязи между протоколом http и сертификатом SSL, а также между сертификатом https и сертификатом SSL. В AFNetworking определение _AFNETWORKING_ALLOW_INVALID_SSL_CERTIFICATES_ допускает недействительные…

  • Понимание ssl сертификатов

    У меня возникли некоторые проблемы с пониманием того, сколько сертификатов ssl я должен получить при определенных условиях: У меня есть две страницы, которые пользователь должен использовать (index и main), и все остальные скрипты, к которым пользователи не имеют доступа в интерфейсе (например,. ..



19

Начиная с версии выпуска 2.7.9/3.4.3, Python по умолчанию пытается выполнить проверку сертификата.

Это было предложено в PEP 467, который стоит прочитать: https:/ / www.python.org/dev/peps/pep-0476/

Изменения затрагивают все соответствующие модули stdlib (urllib/urllib2, http, httplib).

Соответствующая документация:

https://docs.python.org/2/ библиотека / httplib. html#httplib.HTTPSConnection

Теперь этот класс по умолчанию выполняет все необходимые проверки сертификатов и имен хостов. Для возврата к предыдущему, непроверенному поведению ssl._create_unverified_context() можно передать в параметр context.

https://docs.python.org/3/ библиотека / http.client.html#http.client.HTTPSConnection

Изменено в версии 3.4.3: этот класс теперь выполняет все необходимые проверки сертификатов и имен хостов по умолчанию. Чтобы вернуться к предыдущему, непроверенному, поведению ssl._create_unverified_context() можно передать в параметр context.

Обратите внимание, что новая встроенная проверка основана на базе предоставленной системой базы данных сертификатов. В отличие от этого, пакет запросов отправляет свой собственный сертификат bundle. Плюсы и минусы обоих подходов обсуждаются в разделе Базы данных доверия PEP 476 .

Поделиться Dr. Jan-Philip Gehrcke     04 февраля 2015 в 15:57


Поделиться ufo     12 сентября 2013 в 14:32



14

Вот пример сценария, который демонстрирует проверку сертификата:

import httplib
import re
import socket
import sys
import urllib2
import ssl

class InvalidCertificateException(httplib.HTTPException, urllib2. URLError):
    def __init__(self, host, cert, reason):
        httplib.HTTPException.__init__(self)
        self.host = host
        self.cert = cert
        self.reason = reason

    def __str__(self):
        return ('Host %s returned an invalid certificate (%s) %s\n' %
                (self.host, self.reason, self.cert))

class CertValidatingHTTPSConnection(httplib.HTTPConnection):
    default_port = httplib.HTTPS_PORT

    def __init__(self, host, port=None, key_file=None, cert_file=None,
                             ca_certs=None, strict=None, **kwargs):
        httplib.HTTPConnection.__init__(self, host, port, strict, **kwargs)
        self.key_file = key_file
        self.cert_file = cert_file
        self.ca_certs = ca_certs
        if self.ca_certs:
            self.cert_reqs = ssl.CERT_REQUIRED
        else:
            self.cert_reqs = ssl.CERT_NONE

    def _GetValidHostsForCert(self, cert):
        if 'subjectAltName' in cert:
            return [x[1] for x in cert['subjectAltName']
                         if x[0]. %s$' % (host_re,), hostname, re.I):
                return True
        return False

    def connect(self):
        sock = socket.create_connection((self.host, self.port))
        self.sock = ssl.wrap_socket(sock, keyfile=self.key_file,
                                          certfile=self.cert_file,
                                          cert_reqs=self.cert_reqs,
                                          ca_certs=self.ca_certs)
        if self.cert_reqs & ssl.CERT_REQUIRED:
            cert = self.sock.getpeercert()
            hostname = self.host.split(':', 0)[0]
            if not self._ValidateCertificateHostname(cert, hostname):
                raise InvalidCertificateException(hostname, cert,
                                                  'hostname mismatch')


class VerifiedHTTPSHandler(urllib2.HTTPSHandler):
    def __init__(self, **kwargs):
        urllib2.AbstractHTTPHandler.__init__(self)
        self._connection_args = kwargs

    def https_open(self, req):
        def http_class_wrapper(host, **kwargs):
            full_kwargs = dict(self. _connection_args)
            full_kwargs.update(kwargs)
            return CertValidatingHTTPSConnection(host, **full_kwargs)

        try:
            return self.do_open(http_class_wrapper, req)
        except urllib2.URLError, e:
            if type(e.reason) == ssl.SSLError and e.reason.args[0] == 1:
                raise InvalidCertificateException(req.host, '',
                                                  e.reason.args[1])
            raise

    https_request = urllib2.HTTPSHandler.do_request_

if __name__ == "__main__":
    if len(sys.argv) != 3:
        print "usage: python %s CA_CERT URL" % sys.argv[0]
        exit(2)

    handler = VerifiedHTTPSHandler(ca_certs = sys.argv[1])
    opener = urllib2.build_opener(handler)
    print opener.open(sys.argv[2]).read()

Поделиться Eli Courtwright     23 августа 2010 в 21:05



8

M2Crypto может выполнить проверку . Вы также можете использовать M2Crypto с Twisted , если хотите. Настольный клиент Chandler использует Twisted для работы в сети и M2Crypto для SSL, включая проверку сертификатов.

Судя по комментарию глифов, похоже, что M2Crypto по умолчанию выполняет лучшую проверку сертификата, чем то, что вы можете сделать с pyOpenSSL в настоящее время, потому что M2Crypto также проверяет поле subjectAltName.

Я также написал в блоге о том, как получить сертификаты Mozilla Firefox поставляется с in Python и может использоваться с решениями Python SSL.

Поделиться Heikki Toivonen     17 сентября 2009 в 23:09



4

Jython DOES выполняет проверку сертификатов по умолчанию, поэтому использование стандартных библиотечных модулей, например httplib.HTTPSConnection и т. д., С помощью jython будет проверять сертификаты и выдавать исключения для сбоев, т. е. несоответствующих идентификаторов, просроченных сертификатов и т. д.

На самом деле вам нужно проделать некоторую дополнительную работу, чтобы заставить jython вести себя как cpython, то есть заставить jython NOT проверять сертификаты.

Я написал сообщение в блоге о том, как отключить проверку сертификатов на jython, потому что это может быть полезно на этапах тестирования и т. д.

Установка полностью доверяющего поставщика безопасности на java и jython.
http://jython.xhaus.com/installing-an-all-trusting-security-provider-on-java-and-jython/

Поделиться Alan Kennedy     17 мая 2011 в 09:21



2

Следующий код позволяет вам воспользоваться всеми проверками валидации SSL (например, действительность даты, цепочка сертификатов CA …) EXCEPT подключаемый шаг проверки, например, для проверки имени хоста или выполнения других дополнительных шагов проверки сертификата.

from httplib import HTTPSConnection
import ssl


def create_custom_HTTPSConnection(host):

    def verify_cert(cert, host):
        # Write your code here
        # You can certainly base yourself on ssl. match_hostname
        # Raise ssl.CertificateError if verification fails
        print 'Host:', host
        print 'Peer cert:', cert

    class CustomHTTPSConnection(HTTPSConnection, object):
        def connect(self):
            super(CustomHTTPSConnection, self).connect()
            cert = self.sock.getpeercert()
            verify_cert(cert, host)

    context = ssl.create_default_context()
    context.check_hostname = False
    return CustomHTTPSConnection(host=host, context=context)


if __name__ == '__main__':
    # try expired.badssl.com or self-signed.badssl.com !
    conn = create_custom_HTTPSConnection('badssl.com')
    conn.request('GET', '/')
    conn.getresponse().read()

Поделиться Carl D’Halluin     02 апреля 2019 в 20:27



-1

pyOpenSSL -это интерфейс к библиотеке OpenSSL. Он должен обеспечить вас всем необходимым.

Поделиться DisplacedAussie     06 июля 2009 в 14:52



-1

У меня была та же проблема, но я хотел свести к минимуму сторонние зависимости (потому что этот одноразовый скрипт должен был выполняться многими пользователями). Мое решение состояло в том, чтобы обернуть вызов curl и убедиться, что код выхода был 0 . Сработало как заклинание.

Поделиться Ztyx     11 декабря 2013 в 11:18


Похожие вопросы:


Несколько сертификатов SSL в JMeter

Я хотел бы использовать несколько сертификатов SSL для моей группы потоков, которая имитирует 100 пользователей. менеджер SSL позволяет мне указать один сертификат, который Jmeter будет использовать…


Проблема понимания SSL проверка цепочки сертификатов

Мое приложение использует SSL для безопасной связи с сервером, и у него возникают проблемы с проверкой цепочки сертификатов. Цепочка выглядит так: Entrust.net Центр сертификации защищенного сервера…


Android-проверка самозаверяющих сертификатов в дополнение к обычным сертификатам SSL

У меня есть приложение Android, которое вызывает веб-службы через SSL. В производстве у нас будут обычные сертификаты SSL, подписанные доверенным CA. Однако мы должны иметь возможность поддерживать…


SSL проверка ошибки или предупреждения с помощью сертификата на глубине 1: Самозаверяющие сертификаты в цепочке сертификатов

Я использую пример кода, предоставленный gsoap для SSL на Windows. Я успешно сгенерировал все необходимые сертификаты и установил сертификат на Windows в доверенном корневом каталоге сертификатов….


SSL проверка сертификатов в Windows Phone году

Как проверить сертификат SSL из приложения Windows Phone? Мне нужно проверить наличие таких критериев, как имя эмитента сертификата, дата истечения срока действия, соответствие имени хоста, цепочка…


SSL проверка сертификата с помощью AFNetworking

Я понимаю использование и необходимость сертификатов SSL. Я ищу подробное объяснение взаимосвязи между протоколом http и сертификатом SSL, а также между сертификатом https и сертификатом SSL. В…


Понимание ssl сертификатов

У меня возникли некоторые проблемы с пониманием того, сколько сертификатов ssl я должен получить при определенных условиях: У меня есть две страницы, которые пользователь должен использовать (index…


Проверка сертификатов при использовании виртуальных сред

У меня есть сертификат root CA, установленный на моей машине, и все в порядке при выдаче запросов при использовании системной установки библиотеки запросов: $ python -c ‘import requests; print…


SSL: CA сертификат установлен, но проверка сертификата отключена — Mac OS Sierra

Я обновил свой Mac OS до Sierra. После обновления, когда я попытался сделать npm install , я получил следующую ошибку: ECMDERR не удалось выполнить git ls-remote —tags —heads…


Проверка различных сертификатов для различных конечных точек

У нас есть веб-приложение, которое обслуживает как безопасные, так и общедоступные конечные точки. В настоящее время мы развертываем его с помощью elastic beanstalk. Отныне мы хотим применять…

PowerShell: проверка и оповещение об истечении срока действия SSL сертификата

Неожиданное истечение срока действия сертификата сервера может вызвать ряд неприятных последствий для ваших клиентов: невозможность установить безопасное подключение, ошибки аутентификации, назойливые предупреждения в браузере и т.д. В этой статье мы покажем, как с помощью PowerShell проверить срок действия SSL/TLS сертификатов на удаленных сайтах, а также истекающих сертификатах в хранилищах сертификатов на серверах и компьютерах домена.

  • Проверка срока действия SSL сертификата на веб-сайтах в Интернете с помощью PowerShell
  • Поиск истекающих сертификатов в хранилище сертификатов Windows

Проверка срока действия SSL сертификата на веб-сайтах в Интернете с помощью PowerShell

Недавно сайт https://winitpro.ru/ был переведен на протокол HTTPS с помощью бесплатного SSL сертификата от Let’s Encrypt. Особенность этих сертификатов – они выдаются на срок 90 дней, после чего их нужно обновить (продлить). Обычно продление Let’s Encrypt сертификатов выполняется специальными скриптами или ботами на стороне хостинга или сервера (в Windows это может быть WACS, в Linux – Certbot). Но иногда автоматика может дать сбой. Мне хотелось бы иметь собственную систему проверки и оповещения об окончании срока действия SSL сертификатов на сайтах. Я реализовал ее на PowerShell. Т.к. мы проверяем сертификат сайта через HttpWeb запрос, вам не нужны права администратора на удаленном веб-сайте/сервере.

В следующем PowerShell скрипте нужно указать список сайтов, на которых нужно проверять срок действия сертификата, а также за сколько дней до окончания действия сертификата начинать показывать уведомления ($minCertAge). В качестве примера я указал 80 дней.

$minCertAge = 80
$timeoutMs = 10000
$sites = @(
"https://winitpro.ru",
"https://site1.com/",
"https://site2. ru/"
)
# Отключить проверку корректности сертификата
[Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}
foreach ($site in $sites)
{
Write-Host Проверка $site -f Green
$req = [Net.HttpWebRequest]::Create($site)
$req.Timeout = $timeoutMs
try {$req.GetResponse() |Out-Null} catch {Write-Host Ошибка при проверке URL $site`: $_ -f Red}
[datetime]$certExpDate = $req.ServicePoint.Certificate.GetExpirationDateString()
[int]$certExpiresIn = ($certExpDate - $(get-date)).Days
$certName = $req.ServicePoint.Certificate.GetName()
$certThumbprint = $req.ServicePoint.Certificate.GetCertHashString()
$certEffectiveDate = $req.ServicePoint.Certificate.GetEffectiveDateString()
$certIssuer = $req.ServicePoint.Certificate.GetIssuerName()
if ($certExpiresIn -gt $minCertAge)
{Write-Host Сертификат для сайта $site истечет через $certExpiresIn дней [$certExpDate] -f Green}
else
{
$message= "Сертификат для сайта $site истечет через $certExpiresIn дней"
$messagetitle= "Продлить сертификат"
Write-Host $message [$certExpDate]. Подробности:`n`nCert name: $certName`Cert thumbprint: $certThumbprint`nCert effective date: $certEffectiveDate`nCert issuer: $certIssuer -f Red
#вывести всплывающее уведомление и отправить письмо администартору
#ShowNotification $messagetitle $message
# Send-MailMessage -From [email protected] -To [email protected] -Subject $messagetitle -body $message -SmtpServer smtp.winitpro.ru -Encoding UTF8
}
write-host "________________" `n
}

Данный PowerShell скрипт проверит SSL сертификаты для всех сайтов из списка. Если обнаружится сертификат, который скоро просрочится, он будет выдел в предупреждении.

Для оповещения администратора о приближающемся сроке истечения SSL сертификата можно добавить всплывающее уведомление. Для этого раскоментируйте строку ShowNotification $messagetitle $message и добавьте функцию:

Function ShowNotification ($MsgTitle, $MsgText) {
Add-Type -AssemblyName System.Windows.Forms
$global:balmsg = New-Object System. Windows.Forms.NotifyIcon
$path = (Get-Process -id $pid).Path
$balmsg.Icon = [System.Drawing.Icon]::ExtractAssociatedIcon($path)
$balmsg.BalloonTipIcon = [System.Windows.Forms.ToolTipIcon]::Warning
$balmsg.BalloonTipText = $MsgText
$balmsg.BalloonTipTitle = $MsgTitle
$balmsg.Visible = $true
$balmsg.ShowBalloonTip(10000)
}

Также можно добавит и email оповещение с помощью Send-MailMessage.

В результате при обнаружении просроченных или истекающих сертификатов вы будете уведомлены письмом и всплывающим сообщением

Осталось создать автоматическое задание планировщика, которые должно выполнятся 1-2 раза в неделю и запускать PowerShell скрипт проверки срока действия сертификатов HTTPS сайтов (вы можете создать задание планировщика для запуска PS1 файла с помощью Register-ScheduledTask).

Поиск истекающих сертификатов в хранилище сертификатов Windows

Также вам может понадобится скрипт, который будет мониторить срок действия сертификатов, используемых для криптографических службах на серверах (например сертификаты на RDS, Exchange, SharePoint, LDAPS и т. д) или компьютерах пользователей.

На локальном компьютере вы можете получить список сертификатов, которые скоро просрочатся с помощью команды Get-ChildItem -Path cert. В Powershell 3.0 есть специальный аргумент -ExpiringInDays:

Get-ChildItem -Path cert: -Recurse -ExpiringInDays 30

В PowerShell 2.0 аналогичная команда выглядит так:

Get-ChildItem -Path cert: -Recurse | where { $_.notafter -le (get-date).AddDays(30) -AND $_.notafter -gt (get-date)} | select thumbprint, subject

Чтобы проверить только собственные сертификаты, используйте контейнер Cert:\LocalMachine\My вместо корневого Cert:. Так вы не будете проверять корневые сертификаты Windows и коммерческие сертификаты.

Чтобы найти сертификаты, которые истекают в течении следующих 30 дней на всех серверах домена, можно использовать такой PowerShell скрипт:

$servers= (get-adcomputer -LDAPFilter "(&(objectCategory=computer)(operatingSystem=Windows Server*) (!serviceprincipalname=*MSClusterVirtualServer*) (!(userAccountControl:1. 2.840.113556.1.4.803:=2)))").Name
[email protected]()
foreach ($server in $servers)
{
$ErrorActionPreference="SilentlyContinue"
$getcert=Invoke-Command -ComputerName $server { Get-ChildItem -Path Cert:\LocalMachine\My -Recurse -ExpiringInDays 30}
foreach ($cert in $getcert) {
$result+=New-Object -TypeName PSObject -Property ([ordered]@{
'Server'=$server;
'Certificate'=$cert.Issuer;
'Expires'=$cert.NotAfter
})
}
}
Write-Output $result

Итак, вы получите список истекающих сертификатов на серверах и у вас будет достаточно времени для их продления.

Этапы выпуска SSL-сертификата и способы валидации (проверки) домена

Процесс выпуска сертификата условно можно разделить на 4 этапа, в зависимости от выбранного типа:

1. Заполнение csr-запроса — происходит в личном кабинете либо до, либо после оплаты сертификата. Поэтому данный этап необходим для всех сертификатов, независимо от типа;

2. Валидация домена — происходит после заполнения csr-запроса и оплаты/активации сертификата. Необходим для всех типов сертификатов;

3. Упрощенная валидация организации или расширенная. Данный этап проверки проходят для получения сертификатов только уровня OV и EV. 

4. Выпуск сертификата и получение файлов на email-адрес. Финальный этап, когда центр сертификации провёл все необходимые проверки и добавил ваш домен в реестр доверенных (т.е. домены, которым можно доверять).

После 4-го этапа можно устанавливать сертификат на сервер и переводить сайт на защищенное соединение HTTPS.

 

Помимо основного способа валидации домена, существуют и альтернативные. Остановимся на них более подробно. В качестве примера используем сертификат Comodo PositiveSSL.

На этапе валидации домена центру сертификации необходимо убедиться в том, что вы являетесь владельцем/администратором домена и имеете права на управление данным доменом. 

На текущий момент существует 3 способа прохождения проверки домена, но  разные центры сертификации могут предлагать на выбор не все. И об этом нужно помнить. 

Способы валидации домена:

1.По e-mail (по почте) — почтовый адрес создаётся на домене, который требуется защитить.

После заказа сертификата Удостоверяющий центр отправляет автоматически сгенерированное письмо на этот email-адрес. В письме будет указан проверочный код и ссылка, по которой необходимо перейти, тем самым подтвердив, что вы являетесь владельцем/администратором домена.

Если у вас нет ни одного из предложенных типов email-адреса, вы можете его создать. 

Любой email-адрес не подойдёт, необходимо выбрать подходящий вариант из списка допустимых email-адресов. Выберите один из типов адреса, представленных ниже: 

После создания email-адреса обратитесь в нашу поддержку, мы инициализируем повторную отправку письма от Удостоверяющего центра.

Данный тип валидации является основным, поэтому по умолчанию используется именно он. Однако не всегда есть возможность (и необходимость) создания и использования почтового ящика на домене, в связи с чем были введены альтернативные варианты.

 

2. По хэш-файлу.

Для использования данного способа валидации при настройке сертификата в личном кабинете выберите вариант «По хэш-файлу»:

Для прохождения валидации домена используется простой текстовый файл в формате .txt с заданным именем и содержимым, который необходимо поместить в корневом каталоге вашего сайта, расположенного на хостинге. 

Примерный вид файла и его содержимое:

 

Как получить хэш-файл

После оплаты/активации сертификата вы можете:

  • Создать файл самостоятельно. Его имя и содержимое доступны в  Личном кабинете: в разделе «Товары — Сертификаты». Для этого кликните дважды по сертификату и в открывшемся меню перейдите в подраздел «Данные для подтверждения по HTTP(S)».

  • Скачать готовый файл. В разделе «Товары — Сертификаты», найдите подраздел «Файлы сертификата» и скачайте его. 

  • Написать запрос в нашу поддержку. Мы отправим вам файл. 

После размещения файла в корне сайта напишите запрос в нашу поддержку — для инициализации проверки домена Удостоверяющим центром. Если проверка пройдена успешно, Удостоверяющий центр выпускает сертификат и направляет файлы сертификата в письме на email-адрес, указанный в csr-запросе в качестве технического.

Важно! Данный способ валидации не поддерживается сертификатами Rapid.

 

3. По записи CNAME DNS.

Для использования данного способа валидации при настройке сертификата в личном кабинете выберите вариант: «По записи CNAME DNS»:

Данный способ валидации подразумевает добавление CNAME-записи для домена с уникальными данными в Личном кабинете хостинг-провайдера или регистратора домена.

CNAME-запись доступна также, как и хэш-файл, в Личном кабинете после оплаты/активации сертификата в разделе «Товары — Сертификаты». Для этого кликните дважды по сертификату и в открывшемся меню перейдите в подраздел «Данные для подтверждения по DNS CNAME».  

CNAME-запись имеет вид:

Рассмотрим на примере домена и сервера, зарегистрированного у FirstVDS. 

Для добавления CNAME-записи необходим DNSmanager или ISPmanager. Доступы в панели указаны в инструкции к серверу.

В панели ISPmanager добавить CNAME-запись можно в разделе «Домены — Доменные имена». Выберите сертификат, кликните кнопку «Записи» и в открывшемся меню нажмите кнопку «Создать»:

Скопируйте содержимое поля «Имя CNAME записи» в поле «Имя», а «Значение CNAME записи» в поле «Домен». В разделе «Тип» выберите значение «CNAME (каноническое имя)»

После создания CNAME-записи напишите запрос в нашу поддержку, для инициализации проверки домена Удостоверяющим центром. Если проверка пройдена успешно, Удостоверяющий центр выпускает сертификат и направляет файлы сертификата в письме на email-адрес, указанный в csr-запросе в качестве технического.

Важно! Потребуется время для обновления глобального кэша DNS для CNAME. Проверить, изменились ли DNS, можно, используя сервис: https://www.nslookuptool.com/ru/

Добавление CNAME-записи в Личном кабинете регистратора домена или другого хостинг-провайдера происходит по аналогии.

 

Теперь, зная основные и альтернативные способы валидации домена, вы можете выбрать для себя наиболее подходящий и удобный вариант.

дешевых SSL-сертификатов

Вы ищете дешевых SSL-сертификатов ? На этой странице вы можете сравнить лучшие дешевые SSL-сертификаты от основных центров сертификации и сначала перечислить те, которые имеют самый высокий рейтинг. Обязательно сравните каждую функцию дешевых сертификатов SSL, чтобы убедиться, что вы получаете лучшее. Если вы не уверены, что вам нужно, используйте наш мастер SSL для сравнения сертификатов SSL от всех поставщиков. За некоторые функции более дорогих сертификатов стоит платить, например, за качественную поддержку, лучшие инструменты управления и т. Д. Обязательно сделайте свое исследование!

Раскрытие рекламы

SSL Shopper — бесплатная услуга, потому что мы можем взимать комиссионные за рефералов и рекламные доллары от некоторых поставщиков, представленных на нашем сайте. На нашем сайте представлены все провайдеры, включая тех, кто не платит нам, чтобы вы могли принять осознанное решение о покупке.


Провайдер сертификатов

Варианты поддержки

Политика возврата
Отзывы:

Цена за 1 год

Подробнее

Провайдер с самым высоким рейтингом


Круглосуточная поддержка клиентов в чате, по телефону и электронной почте Полный возврат в течение 30 дней с момента выдачи 4. 8
136 отзывов

49,00

Получить цену

Круглосуточная поддержка клиентов в чате, по телефону и электронной почте Полный возврат в течение 30 дней с момента выдачи 4.7
4413 отзывов

99,00

Получить цену

Круглосуточная поддержка клиентов в чате, по телефону и электронной почте Полный возврат в течение 30 дней с момента выдачи 3.7
130 отзывов

17,00 $

Получить цену

Подробное сравнение сертификатов SSL

Информация о провайдере
# 1 # 2 # 3 # 4




4. 8
Из 136 отзывов
4,7
Из 4413 отзывов
4,7
Из 4413 отзывов
3,7
Из 130 отзывов
2002 г. 1998 г. 1998 г. 2001 г.
Хьюстон, Техас, США Розленд, Нью-Джерси, США Розленд, Нью-Джерси, США Лехи, Юта, США
Круглосуточная поддержка клиентов в чате, по телефону и электронной почте Круглосуточная поддержка клиентов в чате, по телефону и электронной почте Круглосуточная поддержка клиентов в чате, по телефону и электронной почте Круглосуточная поддержка клиентов в чате, по телефону и электронной почте
Полный возврат в течение 30 дней с момента выдачи Полный возврат в течение 30 дней с момента выдачи Полный возврат в течение 30 дней с момента выдачи Полный возврат в течение 30 дней с момента выдачи
Информация о сертификате
Базовый SSL
Мгновенный SSL
Положительный SSL
RapidSSL
49 долларов.
00
99,00 $
49,00 $
17,00 $
В течение нескольких минут В течение 1 часа В течение нескольких минут В течение нескольких минут
Единое доменное имя (FQDN) + www SAN Единое доменное имя (FQDN) + www SAN Единое доменное имя (FQDN) + www SAN Одно доменное имя (FQDN) + www SAN
10 000 долл. США 100 000 долл. США 10 000 долл. США 10 000 долл. США
Проверка домена Проверка организации и домена Проверка домена Проверка домена
Доменное имя отображается только в сертификате Имя домена и имя организации указаны в сертификате Доменное имя отображается только в сертификате Доменное имя отображается только в сертификате
Неограниченное количество серверов Неограниченное количество серверов Неограниченное количество серверов Неограниченное количество серверов
Нет данных Нет данных Нет данных Нет данных
Узнать больше Узнать больше Узнать больше Узнать больше

Нужна помощь в поиске подходящего сертификата?

Попробуйте наш мастер SSL

Зачем покупать дешевые SSL-сертификаты?

Почему бы не купить дешевый сертификат, если он работает так же хорошо, как и более дорогой сертификат? Имейте в виду, что не все сертификаты одинаковы, и важно сравнить все функции, чтобы убедиться, что купленный вами сертификат будет работать для ваших нужд. Самые дешевые SSL-сертификаты проверяются только доменом и не обеспечивают наибольшего доверия для ваших клиентов. Это означает, что лучше использовать более дорогой сертификат SSL в магазинах электронной коммерции или других общедоступных сайтах, которые требуют, чтобы люди доверяли сайту. Дешевые сертификаты SSL обычно можно использовать на почтовых серверах или внутренних сайтах, где вы просто хотите использовать шифрование и не заботитесь о том, чтобы гарантировать пользователям вашу личность. Большинство дешевых SSL-сертификатов совместимы со всеми основными веб-браузерами.Если вы просто ищете в целом недорогого поставщика SSL, посетите нашу страницу дешевых поставщиков SSL. Помните, что если у вас есть сайт электронной коммерции, более дорогостоящий проверенный сертификат организации или сертификат расширенной проверки может помочь вашим клиентам больше доверять вам, лучше защитить ваших клиентов от фишинговых атак типа «человек посередине» и помочь вашим клиентам покупать больше (что означает, что вы зарабатываете больше денег).

Дополнительные дешевые ресурсы SSL

Настройка создания SSL CSR и установка сертификата SSL

Руководства по созданию CSR и установки SSL

Настройка SSL-сертификатов

Начало работы с SSL может сбивать с толку даже в лучшие времена, даже для опытных администраторов серверов.

Если вам нужно беспокоиться об SSL один или два раза в год, или вы меняете сертификаты и устанавливаете SSL сертификаты на сотнях серверов, наши руководства по настройке SSL призваны максимально упростить этот процесс.

И, как всегда, если у вас есть какие-либо вопросы по поводу вашего SSL установка сертификата или конфигурация SSL, просто позвоните нам! Мы готовы ответить на вопросы 24 часа в сутки.

Настройка сертификата SSL

Установка SSL

Установка может сильно отличаться от одного типа сервера к другому, и даже иногда между более старыми версиями и последним обновлением.

Если есть конкретный сервер, с которым вам нужна помощь, который мы не перечисляем, или если у вас возникнут какие-либо проблемы с нашими существующими инструкциями, не стесняйтесь сообщить нам об этом.

Общие платформы:

Полный список:

Создание CSR

Создание CSR — это первый шаг к настройке SSL на вашем сервере или устройстве с поддержкой SSL.

Созданный вами файл .csr будет отправлен нам во время онлайн-заказа. и используется для создания файла сертификата SSL.

Общие платформы:

Полный список:

Шаги по запросу и установке сертификата SSL

После первоначальной установки сертификата мы рекомендуем вам убедиться, что он работает правильно. с помощью нашего инструмента проверки установки SSL.

В дополнение к упомянутым выше инструментам мы предлагаем различные решения для настройки сертификатов SSL. Можно найти дополнительную информацию об экспорте сертификатов с одного типа сервера на другой, обновлении сертификата DigiCert или удалении внутренних имен с серверов Microsoft Exchange.

Настройте SSL на нескольких серверах с помощью наших продуктов с подстановочными знаками или многодоменных сертификатов SSL.

Настройка сертификатов SSL — Руководство по настройке SSL

Узнайте, как настроить сертификаты SSL на всех основных серверных платформах.

Сертификат

не является доверенным | Просмотр ошибок сертификата безопасности

Сертификат не является доверенным в веб-браузере

Следующие предупреждения отображаются веб-браузерами при доступе к сайту, на котором установлен сертификат безопасности (для шифрования данных SSL / TLS), который не может быть проверен браузером.

Internet Explorer: «Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным центром сертификации».

Firefox 3: «www.example.com использует недействительный сертификат безопасности. Сертификат не является доверенным, поскольку сертификат издателя неизвестен. «Или» www.example.com использует недействительный сертификат безопасности. Сертификат не является доверенным, потому что он самоподписанный «.

Браузеры сделаны со встроенным списком доверенных поставщиков сертификатов (например, DigiCert). Для некоторых сайтов поставщика сертификата нет в этом списке. В этом случае браузер предупредит вас о том, что центр сертификации (ЦС), выдавший сертификат, не является доверенным.Эта проблема также может возникнуть, если на сайте есть самозаверяющий сертификат. Хотя это предупреждение является довольно общим для Internet Explorer, Firefox 3 будет различать сертификат, выданный самим сервером (самозаверяющий сертификат), и другой тип ненадежного сертификата.

Если у вас есть сертификат DigiCert и вы получаете эту ошибку, устраните проблему, используя приведенные ниже разделы. Для правильной работы SSL-сертификата DigiCert вам не нужно ничего устанавливать на клиентские устройства / приложения.Первый шаг — использовать наш тестер SSL-сертификатов, чтобы найти причину ошибки.

Самозаверяющие сертификаты

Одна из возможных причин этой ошибки заключается в том, что на сервере установлен самозаверяющий сертификат. Самозаверяющие сертификаты не доверяют браузерам, потому что они генерируются вашим сервером, а не центром сертификации. Вы можете определить, является ли сертификат самоподписанным, если ЦС не указан в поле эмитента в нашем тестере сертификатов SSL.

Если вы обнаружите самоподписанный сертификат на своем сервере после установки сертификата DigiCert, мы рекомендуем вам ознакомиться с инструкциями по установке и убедиться, что вы выполнили все шаги.

Если вы выполнили все шаги по установке, но проблема не исчезла, вам следует сгенерировать новый CSR со своего сервера (см. Инструкции по созданию CSR), а затем повторно выпустить сертификат в своей учетной записи DigiCert, войдя в систему, щелкнув номер заказа и затем щелкнув ссылку на переиздание.

Промежуточные выдачи сертификатов

Наиболее частой причиной ошибки «сертификат не доверяет» является неправильная установка сертификата на сервере (или серверах), на котором размещен сайт.Воспользуйтесь нашим тестером сертификатов SSL, чтобы проверить эту проблему. В тестере неполная установка показывает один файл сертификата и оборванную красную цепочку.

Чтобы решить эту проблему, установите файл промежуточного сертификата (или сертификата цепочки) на сервер, на котором размещен ваш веб-сайт. Для этого войдите в свою консоль управления DigiCert, щелкните номер заказа, а затем выберите ссылку для загрузки сертификата. Этот файл должен называться DigiCertCA.crt. Затем следуйте инструкциям по установке для вашего сервера, чтобы установить промежуточный файл сертификата.

После импорта промежуточного сертификата еще раз проверьте установку с помощью тестера сертификатов SSL. В тестере неполная установка показывает несколько файлов сертификатов, соединенных непрерывной синей цепочкой.

Проблемы с промежуточным сертификатом (расширенный)

Если вы получаете сообщение об ошибке с помощью нашего тестера SSL-сертификатов, вы используете сервер Windows, а эмитент вашего сертификата указан как «DigiCert High Assurance EV CA-3», пожалуйста, ознакомьтесь с этой статьей для получения инструкций по устранению ошибки установки SSL.

Ниже приведены еще несколько предупреждений для разных браузеров.

Internet Explorer 6: «Информация, которой вы обмениваетесь с этим сайтом, не может быть просмотрена или изменена другими лицами. Однако существует проблема с сертификатом безопасности сайта. Сертификат безопасности был выпущен компанией, которой вы не доверяете. Посмотреть сертификат, чтобы определить, хотите ли вы доверять удостоверяющему центру. Продолжить? »

Internet Explorer 7: «Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным центром сертификации.Проблемы с сертификатом безопасности могут указывать на попытку обмануть вас или перехватить любые данные, которые вы отправляете на сервер ».

Firefox 3: «www.example.com использует недопустимый сертификат безопасности. Сертификат не является доверенным, поскольку сертификат издателя неизвестен». или «www.example.com использует недействительный сертификат безопасности. Сертификат не является доверенным, потому что он самоподписанный».

Установка CSR и SSL (OpenSSL)

Создайте CSR с помощью OpenSSL и установите сертификат SSL на свой сервер Nginx

Используйте инструкции на этой странице, чтобы использовать OpenSSL для создания запроса на подпись сертификата (CSR), а затем для установки сертификата SSL на сервере Nginx.

Примечание о перезапуске: После того, как вы установили сертификат SSL / TLS и настроили сервер для его использования, необходимо перезапустить экземпляр Nginx.

  1. Чтобы создать запрос на подпись сертификата (CSR), см. Nginx: создание CSR с помощью OpenSSL.

  2. Чтобы установить сертификат SSL, см. Nginx: установка и настройка сертификата SSL.

I.

Nginx: создание CSR с помощью OpenSSL

Используйте инструкции в этом разделе, чтобы создать свои собственные команды оболочки для генерации CSR Nginx с использованием OpenSSL.

Рекомендовано: Сэкономьте время. Используйте DigiCert OpenSSL CSR Wizard, чтобы сгенерировать команду OpenSSL для создания вашего Nginx CSR. Просто заполните форму, нажмите Создать , а затем вставьте настроенную команду OpenSSL в свой терминал.

Как создать CSR для Nginx с использованием OpenSSL

Если вы предпочитаете создавать собственные команды оболочки для генерации CSR Nginx, следуйте приведенным ниже инструкциям.

  1. Войдите на свой сервер через терминальный клиент (ssh).

  2. Команда запуска

    В командной строке введите следующую команду:

    Примечание: Обязательно замените server именем вашего сервера.

    openssl req –new –newkey rsa: 2048 –nodes –keyout server.key –out server.csr

  3. Создать файлы

    1. Теперь вы начали процесс создания следующих двух файлов:

      • Файл закрытого ключа : используется для создания CSR и более поздних версий для защиты и проверки соединений с помощью сертификата.
      • Файл запроса на подпись сертификата (CSR) : используется для заказа вашего сертификата SSL, а затем для шифрования сообщений, которые может расшифровать только соответствующий закрытый ключ.
    2. Когда будет предложено ввести общее имя (имя домена), введите полный домен (FQDN) для сайта, который вы собираетесь защитить.

      Примечание: Если вы генерируете Nginx CSR для сертификата Wildcard, убедитесь, что ваше общее имя начинается со звездочки (например, * .example.com ).

    3. При появлении запроса введите информацию о вашей организации, начиная с географической информации.

      Примечание: Возможно, вы уже установили информацию по умолчанию.

    4. Теперь ваш файл .csr будет создан.

  4. Закажите сертификат SSL / TLS

    1. Открой .csr, который вы создали в текстовом редакторе.

    2. Скопируйте текст, включая теги —— НАЧАТЬ НОВЫЙ ЗАПРОС СЕРТИФИКАТА —— и —— КОНЕЦ НОВОГО ЗАПРОСА СЕРТИФИКАТА ——, и вставьте его в форму заказа DigiCert.

  5. Сохранить закрытый ключ

    Сохраните (сделайте резервную копию) сгенерированный. ключевой файл. Он понадобится вам позже при установке сертификата SSL.

  6. Установить сертификат

    После того, как вы получили сертификат SSL от DigiCert, вы можете установить его на свой сервер.

II.Nginx: установка и настройка сертификата SSL

Если вам все еще нужно создать запрос на подпись сертификата (CSR) и заказать сертификат, см. Nginx: создание CSR с помощью OpenSSL.

После того, как мы проверили и выпустили ваш сертификат SSL, вы можете установить его на сервере Nginx, на котором был сгенерирован CSR, и настроить сервер для его использования.

Как установить и настроить сертификат SSL

  1. Первичные и промежуточные сертификаты

    1. Вы должны были получить your_domain_name. pem от DigiCert в электронном письме при выдаче сертификата. Этот файл .pem содержит как ваш основной сертификат, так и промежуточный сертификат. Если у вас есть этот файл .pem, вы можете перейти к шагу 4.

    2. Если вам нужно объединить ваш основной сертификат и промежуточный сертификат в один файл, см. Шаг 2.

  2. Скопируйте файлы сертификатов на свой сервер

    1. Войдите в свою учетную запись DigiCert и загрузите промежуточный файл (DigiCertCA.crt) и файлы вашего основного сертификата ( your_domain_name.crt ).

    2. Скопируйте эти файлы вместе с файлом . key, созданным при создании CSR, в каталог на сервере, где вы будете хранить файлы сертификата и ключей.

      Примечание: Сделайте их доступными для чтения только root, чтобы повысить безопасность.

  3. Объедините первичный и промежуточный сертификаты

    1. Вам необходимо объединить ваш основной файл сертификата (your_domain_name.crt) и промежуточный файл сертификата (DigiCertCA.crt) в один файл .pem.

    2. Чтобы объединить файлы, выполните следующую команду:

      cat your_domain_name. crt DigiCertCA.crt >> bundle.crt

  4. Отредактируйте файл виртуальных хостов Nginx

    1. Откройте файл виртуального хоста Nginx для веб-сайта, который вы защищаете.

    2. Сделайте копию существующего незащищенного серверного модуля и вставьте ее под оригиналом.

      Примечание: Если вам нужно, чтобы ваш сайт был доступен как через защищенные (https), так и через незащищенные (http) соединения, вам понадобится серверный модуль для каждого типа соединения.

    3. Затем добавьте строки, выделенные жирным шрифтом ниже:

      сервер {

      слушать 443;

      ssl на;
      ssl_certificate /etc/ssl/your_domain_name.pem; (или пучок.crt)
      ssl_certificate_key /etc/ssl/your_domain_name.key;

      имя_сервера your.domain.com;
      access_log /var/log/nginx/nginx.vhost.access.log;
      error_log /var/log/nginx/nginx.vhost.error.log; Расположение
      / {
      root /home/www/public_html/your.domain.com/public/; Индекс
      index.html;
      }

      }

    4. Измените имена файлов, чтобы они соответствовали вашим файлам сертификатов:

      • ssl_certificate должен быть вашим основным сертификатом в сочетании с промежуточным сертификатом, созданным на предыдущем шаге (например,г. , your_domain_name.crt ).

      • ssl_certificate_key должен быть файлом .key, сгенерированным при создании CSR.

  5. Перезапустите Nginx.

    Выполните следующую команду, чтобы перезапустить Nginx:

    sudo /etc/init.d/nginx перезапуск

  6. Поздравляю! Вы успешно установили свой сертификат SSL.

Устранение неисправностей:

  1. Используйте инструмент диагностики установки SSL DigiCert ®

    Если ваш веб-сайт общедоступен, наша программа проверки сертификатов SSL может помочь вам диагностировать распространенные проблемы.

  2. Используйте браузер и посетите ваш сайт

    Откройте веб-браузер и посетите свой сайт, используя https.Мы рекомендуем протестировать ваш сайт с помощью Firefox; этот браузер выдаст вам предупреждение, если ваш промежуточный сертификат не установлен. Вы не должны получать никаких предупреждений или ошибок браузера.

    1. Если вы сразу получаете сообщение браузера о том, что сайт недоступен, значит, Nginx еще не прослушивает порт 443.

    2. Если ваш веб-запрос занимает очень много времени и истекает, возможно, брандмауэр блокирует трафик через TCP-порт 443 к веб-серверу.

    3. Если вы получили предупреждение «не доверенный», просмотрите сертификат, чтобы убедиться, что это тот сертификат, который вы ожидаете.

      • При просмотре сертификата проверьте поля Subject , Issuer и Valid To

      • Если вам пришлось объединить файлы сертификатов, ваш основной сертификат (например,g. , your_domain_name.crt ) может неправильно сочетаться с промежуточным сертификатом.

  3. Для получения дополнительной информации см. Документацию Nginx SSL.

Конфигурация сервера Nginx

Для получения информации о конфигурациях сервера Nginx, которые могут усилить вашу среду SSL:

Устранение неполадок промежуточных сертификатов с перекрестной подписью

Настройка Windows Server для отправки сертификата с перекрестной подписью

Фон

Все SSL-сертификаты DigiCert®, выпущенные со сроком действия после января 2011 года, выдаются с использованием 2048-битного пути сертификата. Корневой сертификат в этом пути называется DigiCert High-Assurance EV Root CA, и ему уже доверяют все современные браузеры.

Windows автоматически определяет, какие промежуточные сертификаты отправлять клиентам, на основе того, какие корневые сертификаты она находит в своем хранилище сертификатов корневых центров сертификации. Когда корневой сертификат корневого ЦС DigiCert High-Assurance EV присутствует в хранилище сертификатов корневых центров сертификации, Windows не включает сертификат с перекрестной подписью.

Чтобы убедиться в наличии этой проблемы, воспользуйтесь нашим онлайн-тестером сертификатов SSL, который работает на всех общедоступных сайтах. Этот тестер сообщит вам, отправляет ли ваш сервер клиентам правильные промежуточные сертификаты.

Самый быстрый способ решить эту проблему — использовать нашу утилиту DigiCert SSL для Windows. Однако вы также можете выполнить следующие шаги.

Отключение корневого сертификата на сервере

Отключение корневого сертификата корневого центра сертификации DigiCert High-Assurance EV в хранилище сертификатов корневых центров сертификации вашего сервера позволяет Windows создать правильный путь промежуточных сертификатов для передачи клиентам.

Исправление этой проблемы включает две задачи:

  1. Проверьте корневой ЦС DigiCert High-Assurance EV в хранилище сертификатов корневых центров сертификации сервера и при необходимости отключите его.
  2. Проверьте промежуточное хранилище сертификатов сервера на наличие необходимых промежуточных файлов сертификатов и при необходимости установите их.

Примечание. В некоторых ситуациях отключение корневого ЦС DigiCert High-Assurance EV, как описано ниже, может не помешать вашему серверу использовать проблемный сертификат. В таких случаях необходимо удалить корневой CA DigiCert High-Assurance EV. Если вы планируете это сделать, обратите внимание, что в редких случаях удаление корневого сертификата может отрицательно сказаться на стабильности сервера.

Отключение DigiCert High-Assurance EV Root CA

Если корневой ЦС DigiCert High-Assurance EV присутствует в хранилище доверенных корневых сертификатов, его следует отключить.

Обычно это единственный шаг, который вам нужно выполнить.Тем не менее, все же рекомендуется проверить и убедиться, что установлены правильные файлы промежуточного сертификата.

Чтобы проверить доверенный корневой файл:

  1. В меню «Пуск» выберите Выполнить и затем введите mmc .

  2. Щелкните Файл> Добавить / удалить оснастку .

  3. Щелкните «Сертификаты »> «Добавить », а затем закройте окно «Добавить автономную оснастку». Нажмите ОК .

  4. Выберите Computer Account , а затем нажмите Next . Выберите Local Computer , а затем нажмите Finish . Затем закройте окно Добавить автономную оснастку и окно Добавить / удалить оснастку.
  5. Щелкните + , чтобы развернуть дерево консоли сертификатов (локальный компьютер) и найти личный каталог / папку.Разверните папку сертификатов.
  6. Найдите папку «Доверенные корневые центры сертификации» и разверните «Сертификаты».
  7. Найдите файл, выпущенный корневым центром сертификации DigiCert High-Assurance EV со сроком действия 11/9/2031.

  8. Дважды щелкните этот файл и перейдите на вкладку Details .

  9. Нажмите Изменить свойства и затем выберите Отключить все цели для этого сертификата в поле Цели сертификата.

  10. Нажмите ОК . Возможно, вам потребуется перезагрузить сервер, чтобы это изменение вступило в силу.

Проверка хранилища промежуточных сертификатов

Этот шаг должен был быть выполнен при установке сертификата (ов) DigiCert.Тем не менее, все же рекомендуется проверить и убедиться, что установлены правильные файлы промежуточного сертификата.

  1. В оснастке «Сертификат MMC» откройте папку «Промежуточные центры сертификации».
  2. В папке Certificates найдите файл корневого CA DigiCert High-Assurance EV.

    Для стандартных SSL-сертификатов (SSL Plus, Wildcard, Multi-Domain SSL) также найдите файл DigiCert High-Assurance CA-3. Для сертификатов EV SSL найдите файл DigiCert High-Assurance EV CA-1.

  3. Если вы найдете файлы, вам не нужно выполнять остальные шаги. Если вы не можете найти файлы, загрузите их с нашего сайта по ссылкам ниже.

    SSL Plus / Wildcard / Многодоменные сертификаты SSL: DigiCert High-Assurance EV Root CA: DigiCert High-Assurance CA-3
    EV сертификаты: DigiCert High-Assurance EV Корневой CA: DigiCert High-Assurance EV CA-1

  4. После загрузки дважды щелкните файл и нажмите Открыть> Установить сертификат .

  5. В мастере импорта сертификатов выберите Далее .
  6. Выберите Поместите все сертификаты в следующее хранилище и затем нажмите Обзор .

  7. Выберите Показать физические хранилища , а затем установите сертификаты в папку «Локальный компьютер» в разделе «Промежуточные центры сертификации».

  8. Завершите работу мастера импорта сертификатов. Вы должны получить сообщение об успешном импорте.

    Ваш сертификат установлен. Вы можете использовать наш онлайн-тестер сертификатов SSL, чтобы проверить установку сертификата.

Как проверить SSL-сертификаты [SSL-проверка]

Если вам нужно знать, как проверить SSL-сертификат на любом веб-сайте, современные браузеры позволяют легко помочь пользователям Интернета в этом и избежать ошибки отправки конфиденциальных данных через незащищенный связь.Для большинства браузеров проверьте, начинается ли URL-адрес сайта с «https», что указывает на наличие сертификата SSL. Затем щелкните значок замка в адресной строке, чтобы просмотреть информацию о сертификате.

Цифровые сертификаты — это электронные учетные данные, которые используются для удостоверения личности людей, компьютеров и других объектов в сети. Частные и общедоступные сети все чаще используются для передачи конфиденциальных данных и выполнения важных транзакций. Это создало потребность в большей уверенности в личности человека, компьютера или службы на другом конце соединения.Цифровые сертификаты и шифрование с открытым ключом идентифицируют машины и обеспечивают повышенный уровень аутентификации и конфиденциальности для цифровых коммуникаций.

  • Как узнать, есть ли на сайте SSL?
  • Как просмотреть сертификат SSL в Chrome и Firefox?
  • Как мне найти сертификат SSL?
    • Магазины сертификатов
    • Инструмент диспетчера сертификатов
  • Как мне проверить, действителен ли мой сертификат SSL?
  • Установить сертификат SSL в Linux
  • Установить сертификат SSL в Windows
  • Как продлить сертификат SSL
    • Как создать новый самозаверяющий сертификат
    • Как продлить сертификаты из центров сертификации
  • Как удалить цифровые сертификаты с истекшим сроком действия?
  • Срок действия сертификатов SSL истекает?
  • Как работают сертификаты SSL?
  • Какие типы сертификатов SSL?
    • 1. Сертификат с подтверждением домена (DV)
    • 2. Сертификат, подтвержденный организацией (OV)
    • 3. Сертификат расширенной проверки (EV)
  • В чем разница между SSL и TLS?
  • Как отключить SSL 2.0, SSL 3.0 и TLS 1.0?
    • Для SSL 2.0
    • Для SSL 3.0
    • Для TLS 1.0
  • Как включить TLS?
    • Включение TLS 1.3 в Chrome
    • Включение TLS 1.3 в Firefox
    • Включение TLS 1.3 в Safari
  • Как включить TLS 1.3 в Windows 10?
    • Как включить TLS 1.2 в Windows 10
  • Как найти версию TLS в Windows?
  • Как используется TLS?
  • Преимущества автоматизации SSL-сертификатов

Как узнать, есть ли у сайта SSL?

Если URL-адрес начинается с «https» вместо «http», тогда сайт защищен с помощью сертификата SSL. Значок замка, отображаемый в веб-браузере, также указывает на то, что у сайта есть безопасное соединение с сертификатом SSL.

Протокол SSL

гарантирует, что данные на этом сайте защищены с помощью шифрования и проверки SSL / TLS. Важно убедиться, что любой веб-сайт, на который могут быть переданы конфиденциальные данные, использует SSL. Сайты, которые не защищены от атак хакеров или похитителей личных данных, либо сами могут быть мошенническими.


Как просмотреть сертификат SSL в Chrome и Firefox? 35>

Chrome упростил для любого посетителя сайта получение информации о сертификате всего за несколько кликов:

  1. Щелкните значок замка в адресной строке веб-сайта
  2. Нажмите «Сертификат (действителен)» во всплывающем окне.
  3. Проверьте дату начала действия с, чтобы подтвердить актуальность сертификата SSL

Отображаемая информация включает в себя предполагаемые цели сертификата, кому он был выдан, кем он был выдан, а также действительные даты.В случае сертификатов Extended Validation (EV) вы можете увидеть некоторую идентифицирующую информацию об организации, эксплуатирующей сайт. Для сертификатов, не относящихся к EV, таких как подтвержденный домен и подтвержденная организация, вы увидите только центр сертификации (ЦС), выдавший сертификат, в разделе «Проверено:» в нижней части всплывающего окна. Щелкните ссылку « Дополнительная информация », чтобы просмотреть дополнительные сведения.


Сертификат EV в Firefox


Сертификат Non EV в Firefox

Это приведет вас к деталям безопасности на странице, где вы найдете дополнительную информацию об идентичности веб-сайта (для сертификатов EV название компании будет указано как владелец) и протоколах, шифрах и ключах, лежащих в основе шифрования.


Если вы хотите получить более подробную информацию о сертификате, просто нажмите « Просмотреть сертификат ». На вкладке « Details » вы найдете иерархию сертификатов и сможете копаться в полях сертификатов.



Как найти сертификат SSL?

Найти SSL может быть так же просто, как проверить свою панель управления или учетную запись в Центре сертификации (ЦС), выдавшем сертификат. Но если это не вариант или у вашей компании несколько сертификатов, есть два способа найти установленные сертификаты SSL на вашем веб-сайте.

Есть два метода найти установленные сертификаты SSL на веб-сайте, принадлежащем читателю этого сообщения. Прежде чем мы углубимся в подробности, мы должны помнить, что в среде Windows Server установленные сертификаты хранятся в хранилищах сертификатов, которые представляют собой контейнеры, содержащие один или несколько сертификатов. Эти контейнеры

  • Personal , в котором хранятся сертификаты, связанные с закрытыми ключами, к которым у пользователя есть доступ.
  • Доверенные корневые центры сертификации , который включает все сертификаты в хранилище сторонних корневых центров сертификации, а также корневые сертификаты от организаций клиентов и Microsoft
  • Промежуточные центры сертификации , включая сертификаты, выданные подчиненным ЦС.

Отличный способ убедиться, что вы нашли все свои сертификаты, — это использовать бесплатный онлайн-инструмент Venafi здесь. Этот инструмент просканирует вашу сеть, найдет все установленные там сертификаты и предоставит вам массу информации по каждому из них.

Если вы решите выбрать ручной путь, чтобы изучить магазины на вашем локальном устройстве и найти соответствующий сертификат, вам следует выполнить следующую процедуру.

  1. Прежде всего, вам нужно будет использовать Microsoft Management Console (MMC) .Для этого откройте командную строку , введите mmc и нажмите Введите .
  2. Щелкните меню File и выберите Add / Remove Snap-in.
  1. Из списка Доступные оснастки выберите Сертификаты , затем выберите Добавить .
  1. В следующем диалоговом окне выберите Учетная запись компьютера и нажмите Далее .
  1. Выберите Локальный компьютер и нажмите Готово .
  1. Теперь вы вернулись в окно « Добавить или удалить оснастки », просто нажмите OK.
  1. Чтобы просмотреть сертификаты в оснастке MMC, выберите хранилище сертификатов на левой панели. Доступные сертификаты отображаются на средней панели.
  1. Если дважды щелкнуть сертификат, появится окно Сертификат , в котором отображаются различные атрибуты выбранного сертификата.
Средство диспетчера сертификатов

Еще один способ просмотреть установленные сертификаты — запустить средство диспетчера сертификатов Windows .

Чтобы просмотреть сертификаты для локального устройства , откройте командную консоль и введите certlm.msc . Появится инструмент Certificate Manager для локального устройства. Для просмотра сертификатов в разделе Certificates — Local Computer на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.

Чтобы просмотреть сертификаты для текущего пользователя , откройте командную консоль и введите certmgr.msc .Появится инструмент Certificate Manager для текущего пользователя. Чтобы просмотреть свои сертификаты, в разделе «Сертификаты — текущий пользователь » на левой панели разверните каталог для типа сертификата, который вы хотите просмотреть.


Помимо проверки собственных сертификатов, не менее важно иметь возможность определять, использует ли посещаемый вами сайт сертификаты SSL. Мы будем использовать в качестве примера сайт Venafi и браузер Firefox.


Первый знак, на который следует обратить внимание, — это «https» в URL-адресе сайта, который вы посещаете.«S» означает, что этот сайт использует сертификат SSL. Затем, если вы используете Firefox, щелчок по замку в адресной строке вызывает предварительное раскрывающееся меню, которое указывает на безопасное соединение при наличии правильно настроенного SSL. Щелкните стрелку справа от раскрывающегося списка, чтобы просмотреть дополнительную информацию о сертификате.


Как проверить, действителен ли мой сертификат SSL?

Все цифровые сертификаты имеют ограниченный срок службы и больше не признаются действительными по истечении срока действия.Сертификаты могут иметь разный срок действия и часто срок действия составляет от одного до трех лет в зависимости от политики компании и / или соображений стоимости. Как минимум, сертификаты необходимо заменять по истечении срока их службы, чтобы избежать сбоев в обслуживании и снижения безопасности. Однако может быть ряд сценариев, в которых сертификат необходимо заменить раньше (например, ошибка Heartbleed, миграция по окончании срока службы SHA-1, слияние компаний, изменение политики компании).

Существуют различные инструменты для проверки действительности вашего SSL-сертификата.Но с правильным ноу-хау вы можете сделать это и сами. После того, как вы нашли сертификаты SSL, размещенные на вашем веб-сервере, есть два способа проверить их действительность.

Первый вариант — запустить команду certlm.msc , открыть окно Certificates — Local Computer и затем просмотреть список сертификатов, перечисленных в магазине, чтобы убедиться, что установлены только легитимные. Это трудоемкая, но выполнимая работа.


Второй вариант — использовать утилиту Windows Sysinternals под названием sigcheck , которая упрощает проверку корневых сертификатов.Загрузите или обновите инструмент от Microsoft и запустите его со следующими параметрами: sigcheck -tv . Утилита загружает список доверенных корневых сертификатов Microsoft и выводит только действительные сертификаты, не связанные с сертификатом из этого списка.


Проверка проверки SSL и управление сертификатами может быть очень сложным и подверженным ошибкам процессом. Управление корпоративными SSL-сертификатами связано со множеством критических задач, и игнорирование или неправильное выполнение любой из них может подготовить почву для эксплойта веб-приложения.


Установить сертификат SSL в Linux

Выполните следующие действия, чтобы установить сертификат SSL на серверах Linux (Apache):

  1. Загрузите сертификат и важные файлы ключей с помощью — S / FTP .
  2. Войдите на сервер. Важно войти в систему через SSH ., Что поможет пользователю стать пользователем root.
  3. Укажите пароль root.
  4. Переместите файл сертификата в /etc/httpd/conf/ssl.crt ..
  5. Переместите ключевой файл также в / etc / httpd / conf / ssl.crt ..
    ПРИМЕЧАНИЕ. Важно обеспечить безопасность перемещенных файлов. Храните файлы в безопасности, ограничивая разрешения. Использование ‘chmod 0400’ . надежно ограничит доступ к ключу.
  6. Перейдите к etc / httpd / conf.d / ssl.conf .. Здесь пользователь найдет Virtual Host Configuration . настройка для домена.
  7. Изменить конфигурацию виртуального хоста . .
  8. Перезапустите Apache.

Затем обязательно проверьте сертификат SSL.Используя разные браузеры, посетите свой сайт с защищенным URL-адресом https, чтобы убедиться, что сертификат SSL работает правильно.


Установить сертификат SSL в Windows

Выполните следующие действия, чтобы установить сертификат SSL в Windows Server 2016:

  1. На сервере, на котором вы создали CSR, сохраните файл .cer сертификата SSL (например, your_domain_com.cer)
  2. В меню «Пуск» Windows введите Internet Information Services (IIS) Manager и откройте его.
  3. Найдите и щелкните имя сервера в дереве меню Connections (левая панель).
  4. На странице имени сервера Home (центральная панель) в разделе IIS дважды щелкните Server Certificates .
  5. На странице Server Certificates (центральная панель) в меню Actions (правая панель) щелкните Complete Certificate Request…
  6. В мастере Complete Certificate Request на странице Specify Certificate Authority Response выполните следующие действия и нажмите OK :
  7. Имя файла, содержащего ответ центра сертификации: Щелкните поле… и выберите . cer файл
  8. Понятное имя: Введите понятное имя для сертификата. Понятное имя не является частью сертификата; вместо этого он используется для идентификации сертификата. Добавление ЦС и даты истечения срока действия в вашем понятном имени поможет идентифицировать сертификат. Это особенно полезно при различении нескольких сертификатов.
  9. Выберите хранилище сертификатов для нового сертификата: В раскрывающемся списке выберите Web Hosting.

Теперь, когда вы успешно установили свой сертификат SSL, вам необходимо назначить сертификат соответствующему сайту.

  1. В диспетчере Internet Information Services (IIS) в дереве меню Connections (левая панель) разверните имя сервера, на котором был установлен сертификат. Затем разверните Sites и выберите сайт, на котором вы хотите использовать сертификат SSL для защиты.
  2. На домашней странице веб-сайта в меню Действия (правая панель) в разделе Редактировать сайт щелкните ссылку Bindings… .
  3. В окне Site Bindings щелкните Add.
  4. В окне Добавить привязки сайтов выполните следующие действия и нажмите ОК:
  5. Тип: В раскрывающемся списке выберите https.
  6. IP-адрес: В раскрывающемся списке выберите IP-адрес сайта или выберите All Unassigned.
  7. Порт: Тип порта 443 . Порт, через который трафик защищен с помощью SSL, — это порт 443.
  8. Сертификат SSL : в раскрывающемся списке выберите новый сертификат SSL (например,грамм. yourdomain.com).

Теперь ваш сертификат SSL установлен, и веб-сайт настроен для приема защищенных соединений. Обязательно проверьте и этот сертификат SSL. Используя разные браузеры, посетите свой сайт с защищенным URL-адресом https, чтобы убедиться, что сертификат SSL работает правильно.


Как продлить сертификат SSL

Обновление

SSL поддерживает актуальность вашего шифрования и шифрования, обеспечивая безопасность вашего веб-сайта и клиентов. Следите за обновлениями, чтобы избежать ошибки с истечением срока действия сертификатов.

Существует две разные процедуры, которые зависят от того, обновляете ли вы самозаверяющие сертификаты или сертификаты от центров сертификации.

Как создать новый самозаверяющий сертификат

Хотя самозаверяющие сертификаты не должны использоваться на сайтах электронной коммерции или любых сайтах, которые передают ценную личную информацию, такую ​​как кредитные карты, номера социального страхования и т. Д., Они могут быть уместны в определенных ситуациях, например, в интрасети, на сервер разработки IIS или на личных сайтах с небольшим количеством посетителей.

  1. Щелкните меню Пуск, перейдите к Администрирование и щелкните Диспетчер информационных служб Интернета (IIS) .
  1. Щелкните имя сервера в столбце Connections слева. Дважды щелкните Server Certificates .
  1. В столбце Actions справа щелкните Create Self-Signed Certificate…
  1. Введите любое понятное имя и нажмите ОК .
  1. Вы только что создали самозаверяющий сертификат, действительный в течение 1 года, указанный в разделе «Сертификаты сервера». Стандартным именем сертификата по умолчанию является имя сервера. Теперь нам просто нужно привязать самоподписанный сертификат к сайту.
  1. Чтобы привязать этот новый сертификат к сайту, в столбце Connections слева разверните папку сайтов и щелкните веб-сайт, к которому вы хотите привязать сертификат. Щелкните Bindings… в правом столбце.
  1. В окне Site Bindings нажмите кнопку Добавить … .
  1. Измените Тип на https , а затем выберите сертификат SSL, который вы только что установили. Щелкните ОК .
  1. Теперь вы увидите привязку для порта 443 в списке. Щелкните Закрыть .
  1. Последний шаг, который вы хотели бы предпринять, — это добавить свой самозаверяющий сертификат в доверенные корневые центры сертификации.Для этого откройте Microsoft Management Console (MMC) и создайте оснастку Certificate для учетной записи локального компьютера (см. Шаги в разделе Как найти мой сертификат SSL выше).
  2. Разверните элемент Certificates слева и разверните папку Personal . Щелкните папку Certificates и щелкните правой кнопкой мыши только что созданный самозаверяющий сертификат и выберите Copy .
  1. Разверните папку Trusted Root Certification Authorities и щелкните папку Certificates под ней.Щелкните правой кнопкой мыши белую область под сертификатами и выберите Вставить .

Как продлить сертификаты из центров сертификации

Если вы хотите обновить корневые сертификаты своих центров сертификации, вам необходимо выполнить следующие шаги:

  1. В консоли Microsoft Management Console (MMC) вашего сервера запустите оснастку Certification Authority . Щелкните правой кнопкой мыши имя центра сертификации и в меню действий выберите Все задачи> Обновить сертификат ЦС .
  1. Появляется предупреждение Install CA Certificate , которое информирует нас о том, что службы сертификатов Active Directory должны быть остановлены. Выберите Да.
  1. В окне Продлить сертификат CA вы можете выбрать использование существующей пары ключей CA или сгенерировать новую пару ключей для обновления сертификата. Если вы хотите создать новую пару открытого и закрытого ключей для сертификата ЦС, вы выберите Да. По умолчанию используется текущая пара открытого и закрытого ключей.Желательно выбрать .
  1. Когда вы выбираете создание новой пары ключей, Windows создает новую во время генерации нового сертификата ЦС, что гарантирует, что ключ, используемый для подписи сертификатов, выданных ЦС, соответствует ключу, который ЦС использует для подписать списки отзыва сертификатов (CRL). Таким образом, обновление сертификата CA с новой парой ключей также предлагает обходной путь для работы с CRL, которые стали слишком большими. Новый CRL содержит только серийные номера сертификатов, которые были отозваны с даты начала действия нового сертификата CA.
  2. В любом случае сертификат обновлен.

Как удалить цифровые сертификаты с истекшим сроком действия?

Очень важно подчеркнуть важность наличия действительных сертификатов. Сертификаты с истекшим сроком действия могут и будут вызывать простои и простои веб-сайтов, что, в свою очередь, нанесет серьезный репутационный ущерб. Поэтому настоятельно рекомендуется своевременно обновлять сертификаты, срок действия которых истекает. Не ждите до последнего момента, чтобы сделать это.

После того, как вы нашли все свои сертификаты в своей системе, вы могли обнаружить, что срок действия некоторых из них уже истек (надеюсь, нет!).Есть два метода удаления сертификатов с истекшим сроком действия, самозаверяющих или предоставленных центром сертификации.

Первый способ: щелкните правой кнопкой мыши сертификат с истекшим сроком действия и выберите Удалить . Вам придется повторить этот шаг для всех сертификатов с истекшим сроком действия. Как только вы закончите, вам нужно будет перезапустить сервер.

Второй способ: щелкните правой кнопкой мыши сертификат с истекшим сроком действия и выберите Свойства . В окне «Свойства» выберите « Отключить все цели для этого сертификата », а затем нажмите Применить .Как только вы закончите со всеми своими истекшими сертификатами, вам нужно будет перезапустить сервер .


Срок действия сертификатов SSL истекает?

SSL-сертификаты

жестко запрограммированы с указанием даты истечения срока действия, обычно до двух лет. Это обеспечивает лучшую защиту и гарантирует актуальность шифрования. Вы можете продлить свой сертификат SSL за 90 дней до даты истечения срока действия, что даст вам время на то, чтобы получить и установить новый сертификат, и избежать перебоев в шифровании.

Важно следить за своими сертификатами и следить за истечением срока их действия, который может подкрасться к вам и вызвать сбои, которые нанесут вред вашему сайту. К сожалению, многие компании управляют множеством цифровых сертификатов вручную с помощью таблиц. Это может привести к ошибкам, таким как потеря, несоответствие или неправильная маркировка сертификатов. Сертификаты могут случайно истечь, а это означает, что центры сертификации больше не считают веб-сайт или веб-приложение безопасным и надежным. Это может быть очень дорогостоящей ошибкой, если уязвимое веб-приложение открыто для всех. Это может нанести ущерб репутации организации, либо браузеры посетителей могут полностью заблокировать доступ к сайту. Это было причиной многих серьезных сбоев в работе системы и часто является одной из последних причин, расследуемых администраторами, что приводит к значительному увеличению времени простоя.

Другая проблема возникает, если CA, выдавший сертификат организации, скомпрометирован. Затем сертификаты аннулируются другими центрами сертификации, поэтому, когда клиент подключается к затронутому серверу, сертификат больше не действителен.Без надлежащего управления сертификатами SSL на уровне предприятия невозможно определить, сколько (если таковые имеются) ваших сертификатов больше не действительны.

Чтобы избежать этих ошибок управления сертификатами и исправить любые ошибки, которые ранее возникали при управлении сертификатами, наиболее эффективным решением является использование автоматизации. Автоматизированные инструменты могут выполнять поиск в сети и записывать все обнаруженные сертификаты. Такие инструменты обычно могут назначать сертификаты владельцам бизнеса и могут управлять автоматическим продлением сертификатов.Программное обеспечение также может проверить правильность развертывания сертификата, чтобы избежать ошибочного использования старого сертификата.


Как работают SSL-сертификаты?

Сертификаты SSL

защищают данные с помощью пары ключей: открытый ключ и закрытый ключ. Вместе эти ключи обеспечивают шифрование и дешифрование. Процесс выглядит так:

  • Браузер или сервер пытается подключиться к веб-сайту (веб-серверу), защищенному с помощью SSL, и инициирует обмен данными.
  • Веб-сервер отправляет браузеру / серверу зашифрованный открытый ключ / сертификат.
  • Браузер / сервер проверяет, доверяет ли он сертификату SSL. Если это так, он отправляет зашифрованный ключ обратно на веб-сервер. В противном случае связь прекращается.
  • Веб-сервер расшифровывает ключ и отправляет обратно подтверждение с цифровой подписью, чтобы начать сеанс с шифрованием SSL.
  • Зашифрованные данные распределяются между браузером / сервером и веб-сервером, выполняя так называемое рукопожатие SSL / TLS.

Ваш закрытый ключ — самый важный компонент вашего SSL-сертификата.Это дает вам право аутентифицировать ваш сайт и помогает включить шифрование. Поэтому важно, чтобы вы позаботились о своем закрытом ключе. Если вы потеряете его или он будет взломан, вам, по крайней мере, придется перевыпустить и переустановить сертификат SSL. Худший сценарий: кто-то может выдать себя за ваш сайт.


Какие типы сертификатов SSL?

По сути, все SSL-сертификаты шифруют информацию. Но есть три основных типа сертификатов, которые предлагают разные уровни доверия:

1.Сертификат с подтверждением домена (DV)

Самый дешевый тип сертификата — это сертификат с подтверждением домена. Эти сертификаты просто проверяют реестр домена. Они не требуют идентификационной информации об организации и никогда не должны использоваться в коммерческих целях. Этот тип сертификата предназначен для использования там, где безопасность не является проблемой, например, в защищенных внутренних системах.

2. Сертификат, подтвержденный организацией (OV)

С помощью этих сертификатов организации проходят строгую аутентификацию по базам данных государственного реестра.Во время процесса проверки можно связаться с деловым персоналом и запросить документы. Сертификаты OV являются стандартом, необходимым для коммерческих или общедоступных сайтов. Они получают законную бизнес-информацию и соответствуют стандартам X.509 RFC.

3. Сертификат расширенной проверки (EV)

Сертификаты расширенной проверки

используются большинством ведущих мировых организаций. В Руководстве по расширенной валидации изложены строгие критерии и строгий процесс проверки, необходимые для получения сертификата EV.Это самый надежный SSL-сертификат, потому что очень сложно выдать себя за другое лицо или использовать фишинг на сайте с поддержкой EV.

Центры сертификации

могут предлагать различные продукты в рамках этих трех основных типов сертификатов, например, подстановочный сертификат. SSL-сертификат Wildcard — это популярный выбор для организаций, которые управляют несколькими сайтами, размещенными на множестве поддоменов. Подстановочные сертификаты защищают домен и несколько поддоменов первого уровня.

Распространенной ошибкой является выбор неправильного SSL-сертификата для вашего сайта.Не уходите только от цены. Определите уровень безопасности, который вам нужен, посмотрите, насколько безопасен центр сертификации, затем проанализируйте характеристики и функции каждого продукта, чтобы выбрать лучший для вас.

Другая ошибка, которую могут совершить организации, — это неподготовленность к процессу валидации. Для сертификата с подтвержденным доменом это может быть так же просто, как наличие правильной информации реестра WHOIS. Для получения более качественных сертификатов вам потребуется предоставить дополнительную информацию, соответствующую требованиям. Убедитесь, что информация готова к работе, прежде чем начинать процесс покупки сертификата SSL.


В чем разница между SSL и TLS?

SSL (Secure Sockets Layer) и TLS (Transport Layer Security) — это криптографические протоколы, которые обеспечивают аутентификацию и шифрование данных между серверами, машинами и приложениями, работающими в сети (например, клиент подключается к веб-серверу). SSL является предшественником TLS, но многие приложения настраивают свою реализацию вместе как «SSL / TLS». Термин SSL все еще широко используется, но в настоящее время он обычно относится к протоколу и сертификатам TLS.(Для получения дополнительной информации см. «Понимание различий между SSL и TLS».)

За прошедшие годы были выпущены новые версии протоколов для устранения уязвимостей и поддержки более надежных и безопасных наборов шифров и алгоритмов. Протоколы SSL 2.0 и 3.0 объявлены устаревшими IETF (в 2011 и 2015 годах, соответственно). На протяжении многих лет уязвимости обнаруживались и продолжают обнаруживаться в устаревших протоколах SSL, таких как POODLE.

TLS использует более надежные алгоритмы шифрования и может работать на разных портах.Кроме того, TLS версии 1.0 не взаимодействует с SSL версии 3.0. Большинство современных браузеров демонстрируют ухудшение пользовательского опыта при встрече с веб-сервером, использующим старые протоколы. По этим причинам вам следует отключить SSL 2.0 и 3.0 в конфигурации вашего сервера, оставив включенными только протоколы TLS.

И последнее, но не менее важное: важно отметить, что сертификаты не зависят от протоколов. Следовательно, вам не нужно заменять сертификаты SSL на сертификаты TLS, и вы можете использовать приведенные выше инструкции, чтобы найти сертификаты SSL или TLS.Не забывайте, что большинство поставщиков называют их сертификатами SSL / TLS.


Как отключить SSL 2.0, SSL 3.0 и TLS 1.0?

В дополнение к отключению SSL 2.0 и SSL 3.0 также рекомендуется отключить TLS 1.0, поскольку все веб-браузеры не будут поддерживать TLS 1.0 и TLS 1. 1 после активации протокола TLS 3.0. Процедура отключения этих протоколов описана ниже.

Процедура отключения этих протоколов идентична. Мы продемонстрируем, как отключить SSL 3.0 и в конце мы предоставим комбинации клавиш для отключения всех трех протоколов.

  1. На сервере Windows откройте редактор реестра ( regedit.exe ) и запустите его от имени администратора.
  2. В окне редактора реестра перейдите по адресу:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols \


Примечание: Если ключ SSL 3.0 уже существует, пропустите шаги 3 и 4.

  1. В дереве навигации щелкните правой кнопкой мыши Protocols , а во всплывающем меню щелкните New> Key .
  1. Назовите ключ SSL 3.0 .
  2. В дереве навигации щелкните правой кнопкой мыши новый ключ SSL 3. 0 , который вы только что создали, и во всплывающем меню щелкните New> Key . Назовите ключ Client .
  3. Щелкните правой кнопкой мыши Client и во всплывающем меню выберите New> DWORD (32-bit) Value .
  1. Назовите значение DisabledByDefault . Дважды щелкните значение DWORD DisabledByDefault и в окне Edit DWORD (32-bit) Value , в поле Value Data измените значение на 1 , а затем нажмите OK .
  1. В дереве навигации снова щелкните правой кнопкой мыши ключ SSL 3.0 и во всплывающем меню щелкните New> Key . Назовите ключ Server .
  2. Щелкните правой кнопкой мыши Server и во всплывающем меню выберите New> DWORD (32-bit) Value .
  3. Назовите значение Включено . Дважды щелкните значение DWORD Enabled и в окне Edit DWORD (32-bit) Value , в поле Value Data оставьте значение 0 , а затем нажмите OK .
  1. Перезагрузите сервер Windows.

Ниже приведены комбинации клавиш для отключения протоколов SSL 2.0, SSL 3.0 и TLS 1.0 на сервере Windows 10 или Windows 2012.

Для SSL 2.0

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols \ SSL 2.0 \ Client]
«DisabledByDefault» = dword: 00000001

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols \ SSL 2.0 \ Server]
«Включено» = dword: 00000000

Для SSL 3.0

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols \ SSL 3.0 \ Client]
«DisabledByDefault» = dword: 00000001

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols \ SSL 3. 0 \ Server]
«Включено» = dword: 00000000

Для TLS 1.0

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols \ TLS 1.0 \ Client]
«DisabledByDefault» = двойное слово: 00000001

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ Schannel \ Protocols \ TLS 1.0 \ Server]
«Enabled» = dword: 00000000

Примечание. Клиентская часть содержит подраздел с именем «DisabledByDefault», тогда как серверная часть содержит подраздел с именем «Enabled». «


Как включить TLS?

Хотя важность TLS для передачи конфиденциальной информации в Интернете осознается и признается, многие компании используют его для защиты всей связи между своими серверами и браузером, независимо от того, являются ли данные конфиденциальными.Действия по включению TLS на серверах зависят от вашего сервера, но вот подробные инструкции о том, как включить TLS 1. 2 на серверах Windows.

Последние версии основных браузеров теперь поддерживают TLS 1.3, и это относительно просто, чтобы обеспечить повышенную конфиденциальность и производительность.

Включение TLS 1.3 в Chrome
  1. Запустите Chrome.
  2. Введите chrome: // flags / # tls13-variant в адресную строку и нажмите Enter.
  3. Найдите TLS 1.3.
  4. Убедитесь, что он не отключен.Вы можете выбрать По умолчанию или Включено.
  5. Перезапустите Chrome.
Включение TLS 1.3 в Firefox
  1. Запустите Firefox.
  2. Введите about: config в адресную строку и нажмите Enter.
  3. Начните вводить tls.version в поиске.
  4. Убедитесь, что значение security.tls.version.max равно 4.
  5. Если нет, дважды щелкните по нему, чтобы изменить на 4.
Включение TLS 1.3 в Safari
  1. Откройте терминал и станьте пользователем root: sudo su — root
  2. Введите следующую команду: defaults write / Library / Preferences / com. apple.networkd tcp_connect_enable_tls13 1
  3. Нажмите Enter.
  4. Перезапустите Safari.

Как включить TLS 1.3 в Windows 10?

На момент написания этой статьи Microsoft все еще работает над поддержкой TLS 1.3 в любой версии Windows. Однако можно использовать TLS 1.0, 1.1 и 1.2. Лучше всего использовать самую последнюю из возможных версий.

Как включить TLS 1.2 в Windows 10

Чтобы создать необходимый ключ для TLS 1.2, создайте значения DWORD DisabledByDefault и установите для него значение 0 в следующем расположении реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ TLS 1.2 \ Client
Имя DWORD: DisabledByDefault
Значение DWORD: 0

При необходимости, вот более подробные инструкции о том, как включить TLS 1.2 на серверах Windows.


Как найти версию TLS в Windows?

  1. В Windows 10 нажмите кнопку Windows в нижнем левом углу (стандартная конфигурация) рабочего стола.
  2. Введите Свойства обозревателя и щелкните элемент Свойства обозревателя панели управления.
  3. Щелкните вкладку «Дополнительно» и оттуда прокрутите вниз до самого низа.Посмотрите, какой флажок TLS установлен.
  4. Если установлен TLS 1.2, все готово. Если это не так, установите флажок «Использовать TLS 1.2», а затем «Применить».

Как используется TLS?

TLS — это стандарт шифрования, пришедший на смену SSL. В общем, TLS использует более надежные алгоритмы шифрования, чем SSL, и может работать на разных портах.

TLS использует комбинацию симметричной и асимметричной криптографии. Симметричная криптография шифрует и расшифровывает данные с помощью закрытого ключа, известного как отправителю, так и получателю.Асимметричная криптография использует пары ключей: открытый ключ и закрытый ключ. Открытый ключ получателя используется отправителем для шифрования данных; тогда его можно будет расшифровать только с помощью закрытого ключа получателя.

В 1999 году TLS заменил старый протокол SSL в качестве предпочтительного механизма безопасности. TLS предлагает обратную совместимость для старых устройств, все еще использующих SSL. Всем веб-сайтам с устаревшим протоколом SSL рекомендуется отключить его и включить только TLS.


Преимущества автоматизации SSL-сертификатов

Безопасность

SSL — важный компонент общей стратегии безопасности предприятия.С увеличением количества подключенных к Интернету устройств, онлайн-порталов и сервисов, которыми управляют организации, появляется больше возможностей для уязвимостей и растущего числа угроз, с которыми сталкиваются эти системы.

Сегодня организации требуют использования сертификатов SSL для обеспечения безопасной передачи данных для сайтов и внутренних сетей. Следовательно, системные администраторы несут ответственность за многочисленные сертификаты с уникальными сроками действия. Следовательно, отслеживание каждого сертификата стало обременительным и неуправляемым.

Для администраторов стало важным и критически важным наличие единой централизованной платформы для обработки установки, развертывания, мониторинга и полного управления всеми сертификатами SSL в их сети независимо от центра сертификации (CA). Организации без надлежащего управления жизненным циклом сертификатов могут столкнуться с проблемами безопасности и управления.

> Чтобы управление жизненным циклом сертификатов было эффективным, все сертификаты должны быть объединены в единую систему управления, такую ​​как Venafi Trust Platform.Имея это решение, администраторы могут выполнять непрерывный мониторинг систем и сертификатов, а также проводить аудит для целей управления и соответствия. Более того, такой подход снижает общую стоимость и сложность управления сертификатами SSL в распределенной среде.

Если вы чувствуете головокружение после выполнения описанных выше процедур и хотите воспользоваться преимуществами безопасности от автоматизации управления жизненным циклом сертификатов, свяжитесь с Venafi для получения индивидуального решения.

SSL Check — Как проверить свой SSL-сертификат

После установки сертификата SSL на веб-сервере вы всегда должны запускать проверку SSL , чтобы убедиться, что все настроено правильно.Сертификаты SSL / TLS требуют установки не только вашего основного сертификата, но и того, что они называют промежуточными сертификатами (цепочкой). Если вы не настроите их должным образом, посетители могут получить предупреждение в своих браузерах, например ошибку «ваше соединение не защищено», что, в свою очередь, может их отпугнуть. И в зависимости от браузера и версии вы можете увидеть это предупреждение, а можете и не увидеть, если ваш сертификат настроен неправильно. Вот почему важно запускать проверку SSL с помощью стороннего инструмента.

Как выполнить проверку SSL

Мы рекомендуем использовать бесплатный инструмент проверки SSL от Qualys SSL Labs. Это очень надежно, и мы используем его для всех клиентов Kinsta при проверке сертификатов. Просто перейдите к их инструменту проверки SSL, введите свой домен в поле Hostname и нажмите «Отправить». Вы также можете выбрать опцию скрытия общедоступных результатов, если хотите. Проверка конфигурации SSL / TLS вашего сайта на вашем веб-сервере может занять минуту или две.

SSL проверить домен

Прохождение проверки SSL с оценкой A

SSL Labs присвоит вам рейтинг SSL-сервера от A до F.Вы всегда должны стремиться к пятёрке. Это означает, что у вас правильно настроены и сертификат SSL, и промежуточный сертификат. И что у вашего хоста WordPress есть остальная часть вашего веб-сервера в соответствии с текущими спецификациями. Если вы этого не сделаете, ознакомьтесь с описанием предупреждений и ошибок и способов их устранения ниже. Вы всегда можете обратиться за помощью к своему хосту WordPress.

Проверка SSL Оценка

Предупреждение о неполной цепочке сертификатов

«Цепочка сертификатов не завершена» — одно из наиболее частых предупреждений при запуске проверки SSL. Когда вы устанавливаете сертификат SSL на свой веб-сервер или в Kinsta, вам необходимо добавить ключ сертификата, закрытый ключ и цепочку. Если вы добавите только свой основной сертификат, вы увидите предупреждение, как показано ниже: «Цепочка сертификатов этого сервера неполная. Оценка ограничена до B. » Он также будет сообщать ниже как просто проблему с цепью.

Цепочка проверки SSL не завершена

Чтобы исправить это, вам также необходимо добавить промежуточный сертификат. Большинство поставщиков SSL отправят вам электронное письмо с доменом.crt и файл .ca-bundle. Для клиентов Kinsta просто вставьте сначала содержимое вашего файла .crt в раздел «Сертификат», а затем содержимое файла .ca-bundle под ним. Вы можете использовать текстовый редактор, например Блокнот или TextMate, чтобы открыть файлы сертификата и пакета. Если у вас нет промежуточного сертификата или вы знаете его, для его создания можно использовать бесплатный инструмент, например https://whatsmychaincert.com/.

Leave a Reply