Про SSL, часть первая: какие бывают сертификаты

После обновления Firefox до версии 52, оно стало ругаться на незащищенное соединение, и задумался о настройке подключения SSL к некоторым своим серверам. Понятное дело, хочется бесплатно, или как минимум “по дешевле”. Пока разбирался в ньюансах, накопал некоторое количество интересной информации, которую и постараюсь упорядоченно изложить.

Собственно, если задуматься на тему “для чего нужны сертификаты”, можно было и самому догадаться, что основное отличие сертификатов – в степени доверия. Т.е. если не привязываться к набору услуг какого-то одного удостоверяющего центра, то разделить сертификаты по степени доверия можно на три части:

  1. сертификаты, которые подтверждают только доменное имя (Domain Validation — DV);
  2. сертификаты, которые подтверждают домен и организацию (Organization Validation — OV);
  3. сертификаты с расширенной проверкой (Extended Validation — EV).

Сертификаты первого типа, нередко выдаются бесплатно, проверяются они обычно в автоматическом режиме. Для получения такого сертификата достаточно всего лишь подтвердить, что данный домен принадлежит вам. Сделать это можно разными способами, например путем отправки письма на один из зафиксированных в rfc адресов, таких как postmaster@вашдомен.ру (webmaster, hostmaster и т.д.).

Т.е. такой сертификат подтверждает, что страница которую вы видите в браузере, действительно загружена с сайта с тем доменным именем, которое вы видите в адресной строке. (Если не понятно зачем это нужно, почитайте, что такое mitm атака).

Выглядит это вот так:

Читать