После обновления Firefox до версии 52, оно стало ругаться на незащищенное соединение, и задумался о настройке подключения SSL к некоторым своим серверам. Понятное дело, хочется бесплатно, или как минимум “по дешевле”. Пока разбирался в ньюансах, накопал некоторое количество интересной информации, которую и постараюсь упорядоченно изложить.
Собственно, если задуматься на тему “для чего нужны сертификаты”, можно было и самому догадаться, что основное отличие сертификатов – в степени доверия. Т.е. если не привязываться к набору услуг какого-то одного удостоверяющего центра, то разделить сертификаты по степени доверия можно на три части:
- сертификаты, которые подтверждают только доменное имя (Domain Validation — DV);
- сертификаты, которые подтверждают домен и организацию (Organization Validation — OV);
- сертификаты с расширенной проверкой (Extended Validation — EV).
Сертификаты первого типа, нередко выдаются бесплатно, проверяются они обычно в автоматическом режиме. Для получения такого сертификата достаточно всего лишь подтвердить, что данный домен принадлежит вам. Сделать это можно разными способами, например путем отправки письма на один из зафиксированных в rfc адресов, таких как postmaster@вашдомен.ру (webmaster, hostmaster и т.д.).
Т.е. такой сертификат подтверждает, что страница которую вы видите в браузере, действительно загружена с сайта с тем доменным именем, которое вы видите в адресной строке. (Если не понятно зачем это нужно, почитайте, что такое mitm атака).
Выглядит это вот так:
Как не трудно догадаться из названия, сертификаты второго типа подтверждают не только то, что вы страницу получили с сервера который соответствует введенному доменному имени. Они гарантируют, что доменное имя, и соответственно сервер, принадлежат компании, которая указана в сертификате.
Что проверяется в таких случаях?
У разных центров сертификации проверка несколько отличается, поэтому приведу общий список пунктов, которые могут быть проверены или запрошены:
- Наличие организации в международных желтых страницах — проверяется не всеми центрами сертифации
- Наличие в whois домена названия вашей организации — а вот это уже проверят обязательно, и если такое название там не указано от вас скорей всего затребуют гарантийное письмо, в котором нужно указать, что домен действительно принадлежит организации, иногда могут затребовать подтверждение от регистратора
- Свидетельство о государственной регистрации — требуют все реже, чаще сейчас производится проверка через специальные компании, которые производят проверку существования организации по своим каналам.
- Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
- Проверочный звонок — все чаще правильность телефона проверяют осуществляя звонок, на номер телефона, указанный вами в заказе. При звонке спросят сотрудника, указанного в административном контакте. Не у всех центров сертификации есть русскоговорящие сотрудники, поэтому предупредите человека, который отвечает на телефон, что возможен звонок от англоязычной компании.
Выглядит это вот так:
Ну и третий тип – extended validation. Как видно из названия, тут все серьезно.
Процесс выпуска сертификатов EV стандартизирован и должен строго соответсвовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:
- Должен проверить правовую, физическую и операционную деятельности субъекта.
- Должен убедиться, что организация соответствует официальным документам.
- Необходимо убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
- Необходимо убедиться, что организация полностью авторизована для выпуска EV сертификата.
Такой сертификат легко отличить по наличию “green bar” в строке адреса браузера, где на зеленом фоне будет указано название организации, которой был выдан сертификат. Выглядит это вот так:
Кроме этого, все эти сертификаты отличаются по количеству доменов которые они подтверждают (возможен вариант с *.вашдомен.ру, но это, как правило сопоставимо с ценой сертификата на ~10 доменов), и еще по некоторым параметрам.
Подробнее можно почитать тут: https://habrahabr.ru/company/tuthost/blog/150433/