Що це за сертифікат такий? - SSL сертифікат для захісту сайта
SSL сертифікат - це цифровий підпис сайту, яка потрібна для роботи протоколу захищеної передачі даних в мережі. Простіше кажучи, вона забезпечує шифрування з'єднання між користувачем і сайтом. Тобто інформація, якою вони обмінюються, захищена від сторонніх - провайдера, оператора, адміністратора вайфай-мережі і інших. Ще за допомогою цього сертифіката підтверджується справжність сайту - користувач може перевірити, який компанії насправді належить ресурс.
Як зрозуміти, захищений сайт чи ні?
Зрозуміти, захищений сайт чи ні дуже просто. Подивіться на адресний рядок (URL) цієї сторінки. Зліва від неї або на ній - це залежить від вашого браузера, можна побачити зелену напис, яка означає, що це сайт компанії. Там же є маленький символ замочка - всі захищені сайти позначаються таким. Ще протокол http на початку адреси змінюється на https (додаткова «s» означає secure, «захищений»).
Навіщо мені захищатися і шифруватися, якщо я не роблю нічого протизаконного?
Кожен користувач, заходячи на будь-який сайт, залишає про себе багато інформації. Якщо на такому сайті немае SSL-сертифіката, то дані, які вводить користувач, можна вкрасти. Тому перш за все захищатися потрібно інтернет-магазинах, банкам, платіжним системам, соцмережах, форумах - всім, хто обробляє персональні дані і проводить фінансові транзакції.
Тобто такі захищені сайти не можуть зламати хакери?
Ні, зламати сайт з SSL-сертифікат так само просто, як і без нього. Тут справа в іншому. SSL-сертифікати захищають не сайт від злому, а інформацію, якою він обмінюється з користувачем, від перехоплення. А ще вони підтверджують, що ви маєте справу з авторизованим сайтом, який належить конкретному власнику. Тобто ви можете бути впевнені, що це не фішингова сторінка і не сайт-клон.
Коли я ввожу свій логін і пароль на сайті, де немає сертифіката, їх можуть вкрасти?
Так, з незахищеного сайту можна перехопити фінансову інформацію, дані вашого облікового запису, зміст листування та інше. Нешифрований інформацію може перехопити недобросовісний постачальник інтернет-послуг, хостер сайту або ж зловмисник, який підключений разом з вами до однієї вайфай-мережі. Якщо сайт не захищений, то інтернет-провайдер може розміщувати на ньому свою рекламу або ж стежити за відвідуванням сайтів і збирати інформацію, щоб зорієнтувати рекламу і продавати ці дані стороннім компаніям. Браузери, пошуковики та особливо компанія Google по-своєму борються з незахищеними сайтами: наприклад, такі сторінки знижують в пошуковій видачі. А ще перед переходом по посиланню на такий сайт може виводитися застережливий екран. Крім того, SSL-сертифікат не дозволяє перенаправляти користувачів на підмінний ресурс, а самим сайтам допомагає не порушувати закон.
Що це за закон такий і як його порушують?
Це закон «Про персональні дані». Якщо сайт збирає хоча б мінімальну інформацію про користувачів, наприклад ПІБ та імейл, то він стає оператором персональних даних. Згідно із законом такий ресурс зобов'язаний дотримуватися цілий комплекс заходів щодо захисту цих даних, і установка SSL-сертифіката - одна з них.
Ок, це один сертифікат?
SSL-сертифікатів кілька видів. Вони відрізняються за кількістю доменів і субдоменів, для яких вони можуть використовуватися, по тому, як саме сайт буде перевірятися, - тут є три варіанти:
- Перший - https://dvssl.com.ua/>DV (domain validation) SSL - підтверджує домен, а також шифрує і захищає дані при передачі за допомогою протоколу https. Встановити його собі на сайт можуть як фізичні особи, так і організації. Випускається він, як правило, в режимі реального часу, після чого на сайті з'являється значок замочка і сайт стає захищеним.
- Другий - https://ovssl.com.ua/>OV (organization validation) SSL - крім захисту інформації гарантується приналежність домена конкретної організації. OV cертифікат видається тільки юридичним особам з підтвердженим номером телефону. На сайті з таким сертифікатом користувач може знайти інформацію про організацію - власника сайту, зазвичай просто клацнувши по іконці замку. Випускається він протягом 1-2 днів.
- Третій - EV (extended validation) SSL - те саме, що і OV, тільки перевіряється вже і податкова, і комерційна діяльність компанії, причому більш детально. На сайті поруч з URL з'являється назва компанії. Випускається в протягом декілька днів.
Так, а де я можу отримати SSL-сертифікат?
В засвідчують центрах Їх близько десятка на весь світ, але основну частку ринку займають всього декілька: Thawte, GeoTrust, DigiCert.
Навіщо підтерджувати домен щоб отримати SSL-сертифікат?
Перевірка домену є критичним компонентом, незалежно від типу сертифіката, і потрібно для всіх сертифікатів як описано в базових вимогах Форума CAB (BR) Перевірка домену підтверджує приналежність власника сертифіката або контроль над доменним ім'ям.
Є сертифікати, які видають безкоштовно - навіщо тоді платити?
По-перше, безкоштовно поставляються тільки SSL-сертифікати типу DV (domain validation). По-друге, їх перевипуск часто платний. По-третє, такий сертифікат може не підійти для деяких сайтів, наприклад, для ресурсів у фінансовій сфері. Однак вони можуть стати відмінним рішенням як тест-драйву з можливістю заощадити на перший рік.
Як зрозуміти, який сертифікат мені потрібен?
Все залежить від кількості доменів і ступеня необхідної перевірки - від цього ж залежить і ціна сертифіката Вибрати потрібний сертифікат можна на сайті SSL.IN.UA
Встановити SSL-сертифікат, напевно, складно?
Не дуже є інструкції по установці SSL сертифікату на конкретний сервер
Как разрешить только конкретному Центру Сертификации выпуск SSL сертификатов для вашего домена?
Центр Сертификации обязан при выпуске сертификата SSL произвести проверку САА записей. Проверка CAA начинается с FQDN (полного доменного имени) и продвигается до базового домена, поэтому при проверке полного доменного имени www.us.adgrafics.com CA проверяет: www.us.adgrafics.com затем us.adgrafics.com а уже потом adgrafics.com
CAA также может помочь организациям, которые стандартизировали или хотят стандартизировать или ограничить используемые ЦС. До CAA не было простого способа для организаций применять этот тип политики, но теперь, когда все ЦС должны будут проверять записи CAA, эти политики могут фактически применяться ЦС. Вот правила обработки для ЦС:
- Нет записи CAA: CA может выдавать SSL сертификат.
- Запись CAA включает CA: CA может выдавать SSL сертификат.
- Запись CAA есть, но не включает CA: CA не может выдавать SSL сертификат.
CAA поддерживает следующие свойства записей:
- Разрешить ЦС выпуск любых сертификатов (включая сертификаты ваилдкард, если они не ограничены Эмитентом)
- Разрешить ЦС выпуск субдоменных сертификатов wildcard, но не разрешить выпуск сертификатов для FQDN.
Что такое CAA (авторизация центра сертификации)?
CAA - это мера безопасности, которая позволяет владельцам доменов указывать в своих серверах доменных имен (DNS),
какие CAs уполномочены выдавать сертификаты для этого домена.
Если ЦС получает заказ на сертификат для домена с записью CAA, и этот CA не указан как уполномоченный эмитент,
им запрещается выдавать сертификат в этот домен или какой-либо субдомен.
Преимущества CAA
Одним из преимуществ CAA является дополнение к прозрачности сертификата (CT).
ПС предоставляет механизмы, помогающие владельцам доменов идентифицировать неправильно выданные или насанкционированно
выданные сертификаты SSL для своих доменов после выпуска, в то время как CAA может помочь предотвратить несанкционированное
выдачу до этого факта. Вместе (CAA и Transparence
они создают лучший набор безопасности.
Внедрение CAA
Хотя проверка записей CAA является обязательной для CA, использование CAA является необязательным для владельцев домена.
Вы можете сами решить, хотите ли вы реализовать, и, если вы решите это сделать, вы можете указать несколько центров сертификации,
если это необходимо
Вы можете проверить ваши записи CAA OnLine
Будьте осторожны при создании записей CAA. Если у вас есть разные отделы, которые заказывают сертификаты, вам необходимо координироваться с ними, чтобы убедиться, что все используемые ЦС будут добавлены в ваши записи CAA. Поскольку проверка CAA является обязательной для ЦС и может привести к отклонению заказа, важно, чтобы администратор DNS внимательно относился к записям CAA. Кроме того, если вы используете поставщика услуг для любого из ваших решений для хостинга, они могут обеспечить безопасность этих серверов с помощью CA, с которым у вас нет прямых отношений, поэтому будьте нвимательны и осторожны.