Про SSL, часть первая: какие бывают сертификаты

от

После обновления Firefox до версии 52, оно стало ругаться на незащищенное соединение, и задумался о настройке подключения SSL к некоторым своим серверам. Понятное дело, хочется бесплатно, или как минимум “по дешевле”. Пока разбирался в ньюансах, накопал некоторое количество интересной информации, которую и постараюсь упорядоченно изложить.

Собственно, если задуматься на тему “для чего нужны сертификаты”, можно было и самому догадаться, что основное отличие сертификатов – в степени доверия. Т.е. если не привязываться к набору услуг какого-то одного удостоверяющего центра, то разделить сертификаты по степени доверия можно на три части:

  1. сертификаты, которые подтверждают только доменное имя (Domain Validation — DV);
  2. сертификаты, которые подтверждают домен и организацию (Organization Validation — OV);
  3. сертификаты с расширенной проверкой (Extended Validation — EV).

Сертификаты первого типа, нередко выдаются бесплатно, проверяются они обычно в автоматическом режиме. Для получения такого сертификата достаточно всего лишь подтвердить, что данный домен принадлежит вам. Сделать это можно разными способами, например путем отправки письма на один из зафиксированных в rfc адресов, таких как postmaster@вашдомен.ру (webmaster, hostmaster и т.д.).

Т.е. такой сертификат подтверждает, что страница которую вы видите в браузере, действительно загружена с сайта с тем доменным именем, которое вы видите в адресной строке. (Если не понятно зачем это нужно, почитайте, что такое mitm атака).

Выглядит это вот так:

Как не трудно догадаться из названия, сертификаты второго типа подтверждают не только то, что вы страницу получили с сервера который соответствует введенному  доменному имени. Они гарантируют, что доменное имя, и соответственно сервер, принадлежат компании, которая указана в сертификате.

Что проверяется в таких случаях?

У разных центров сертификации проверка несколько отличается, поэтому приведу общий список пунктов, которые могут быть проверены или запрошены:

  1. Наличие организации в международных желтых страницах — проверяется не всеми центрами сертифации
  2. Наличие в whois домена названия вашей организации — а вот это уже проверят обязательно, и если такое название там не указано от вас скорей всего затребуют гарантийное письмо, в котором нужно указать, что домен действительно принадлежит организации, иногда могут затребовать подтверждение от регистратора
  3. Свидетельство о государственной регистрации — требуют все реже, чаще сейчас производится проверка через специальные компании, которые производят проверку существования организации по своим каналам.
  4. Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
  5. Проверочный звонок — все чаще правильность телефона проверяют осуществляя звонок, на номер телефона, указанный вами в заказе. При звонке спросят сотрудника, указанного в административном контакте. Не у всех центров сертификации есть русскоговорящие сотрудники, поэтому предупредите человека, который отвечает на телефон, что возможен звонок от англоязычной компании.

Выглядит это вот так:

Ну и третий тип – extended validation. Как видно из названия, тут все серьезно.

Процесс выпуска сертификатов EV стандартизирован и должен строго соответсвовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:

  1. Должен проверить правовую, физическую и операционную деятельности субъекта.
  2. Должен убедиться, что организация соответствует официальным документам.
  3. Необходимо убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
  4. Необходимо убедиться, что организация полностью авторизована для выпуска EV сертификата.

Такой сертификат легко отличить по наличию “green bar” в строке адреса браузера, где на зеленом фоне будет указано название организации, которой был выдан сертификат. Выглядит это вот так:

Кроме этого, все эти сертификаты отличаются по количеству доменов которые они подтверждают (возможен вариант с *.вашдомен.ру, но это, как правило сопоставимо с ценой сертификата на ~10 доменов), и еще по некоторым параметрам.

Подробнее можно почитать тут: https://habrahabr.ru/company/tuthost/blog/150433/

Возможно вас заинтересует:

  1. Кто же стоит за кражей SSL-сертификатов
  2. wordpress SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
  3. Про SSL, часть вторая: получение и настройка OV сертификата
  4. Про SSL часть 3: как проверить сертификат на почтовом сервере

Добавить комментарий

Войти с помощью: