Часто задаваемые вопросы о SSL-сертификатах

При попытке доступа к вашему сайту он может быть подменен злоумышленниками даже в том случае, если пользователь правильно ввел его доменное имя.

SSL-сертификаты исключают возможность подобной подмены — просмотрев сертификат, пользователь может убедиться, что на домене размещен именно тот сайт, который там должен быть, а не его дубликат.

Кроме того, SSL-сертификат позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника.

Еще одна важная функция SSL-сертификатов — шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в сети.

SSL-сертификаты рекомендуем устанавливать в разделе сайта, где пользователи вводят конфиденциальные данные, например, на страницах авторизации и оплаты услуг. Наличие на сайте сертификата защищает его от возможных подделок, так как пользователь всегда может убедиться, что сайт подлинный, и проверить, кому он принадлежит.

Для корректной работы SSL-сертификат должен быть выпущен специальной организацией — Удостоверяющим центром. В мире существует несколько общепризнанных удостоверяющих центров. Мы работаем с Удостоверяющими центрами: Thawte, GeoTrust, DigiCert, GlobalSign и Comodo.

SSL сертификаты, удостоверяющие только домен (DV-сертификаты), доступны для юридических, физических лиц и ИП. SSL-сертификаты, удостоверяющие домен и его владельца (OV и EV-сертификаты), доступны только юридическим лицам.

Для аннулирования сертификата необходимо отправить в RU-CENTER авторизованную заявку из личного кабинета.

В целях безопасности SSL-сертификат не переносится на другой договор.

Если вы заказываете Wildcard сертификат, учитывайте, что такой тип сертификата защищает сам домен, для которого заказывается сертификат, и неограниченное количество поддоменов одного уровня. Например, при заказе Wildcard сертификата на доменное имя *.test.domain.ru будут защищены поддомены 1.test.domain.ru, 2.test.domain.ru и т.д. Но сам домен test.domain.ru, а также domain.ru и www.domain.ru защищены не будут.

Вы можете  конвертировать сертификат самостоятельно при помощи утилиты openssl, которая есть на любой Linux-машине. Команда выглядит так:

openssl pkcs12 -export -chain -inkey certificate.key -in cert.pem -name "tomcat" -CAfile intermediate_and_root.pem -out result.pkcs12

где:

certificate.key — закрытый ключ сертификата,
cert.pem — сертификат в текстовом формате (PEM),
result.pkcs12 — имя результирующего файла,
intermediate_and_root.pem — корневой и промежуточные сертификаты, объединенные в одном файле: Корневой, Первый промежуточный сертификат, Второй промежуточный сертификат.

Если вы работаете под Windows, то необходимо сначала выполнить установку сертификата по инструкции. Затем через консоль MMC и оснастку «сертификаты» выполнить его экспорт в нужном формате. Для этого, в мастере экспорта необходимо поставить отметку в поле «экспортировать приватный ключ». Для экспорта под Windows запрос на сертификат должен быть создан из консоли MMC с указанием опции «сделать ключ экспортируемым», так как, если его создавать через IIS, ключ будет невозможно экспортировать.

Подтвердить принадлежность домена в заказе на сертификат можно через электронную почту, указанную для домена в Whois сервисе. Для этого вам нужно обратиться к регистратору домена и прописать в Whois сервисе для него любую электронную почту. Если домен зарегистрирован в RU-CENTER, то для этого укажите почту в личном кабинете:

  1. В Разделе для клиентов выберите Услуги → Мои домены.
  2. Нажмите на доменное имя как на активную ссылку.
  3. В строке Описание в Whois нажмите ссылку Изменить.
  4. Укажите электронную почту и нажмите кнопку Сохранить изменения. После этого уведомьте нас о проделанных действиях, отправив авторизованную заявку из личного кабинета или письмом по адресу ssl@nic.ru.

Если запрос на сертификат CSR  вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить перевыпуск сертификата — это бесплатно.

Удостоверяющий центр Sectigo (Comodo) производит проверку информации по DUNS номеру на международной онлайн-платформе Dun & Bradstreet. Для проверки отображения номера телефона:

1. Зайдите на сайт www.dnb.com.

2. В верхней части страницы нажмите на поисковую строку Search Companies, Content, Industries и введите в поле номер DUNS.

3. Нажмите на кнопку Search или клавишу Enter на клавиатуре.

4. На открывшейся карточке компании вы можете проверить наличие номера телефона в поле Telephone number.

Если номер телефона указан некорректно или отсутствует, обратитесь в российское представительство Dun & Bradstreet — компанию Интерфакс, и внесите или откорректируйте номер телефона в карточке компании. После внесения изменений номер телефона по вашему DUNS будет отображаться только через 7-30 календарных дней.

Чтобы изменить список доменов, на которые распространяется сертификат, необходимо заново создать CSR и пройти процедуру перевыпуска сертификата:

1. В разделе Для клиентовSSL-сертификаты и выберите нужный сертификат.

2. Нажмите ссылку Изменить список доменов.

3. Если вы хотите создать CSR в процессе заказа — нажмите Продолжить.Если вы будете использовать свой CSR — введите его в появившемся поле. Создание CSR для установки сертификата на Microsoft IIS описано в отдельных инструкциях — они откроются при выборе этого варианта.

4. Внесите изменения в список доменов и нажмите Продолжить.

5. Укажите контактные данные и нажмите Продолжить.

6. Сохраните приватный ключ — он понадобится для установки сертификата на веб-сервер. Нажмите Продолжить.

7. Проверьте корректность и нажмите Отправить заказ.

SSL-сертификаты выпускаются на 1 год.

Если организация заказывает сертификат на домен, который ей не принадлежит, то для этого необходимо предоставить письмо от владельца домена с разрешением на выпуск сертификата. Шаблон письма будет направлен удостоверяющим центром на контактный адрес электронной почты заказчика сертификата.

Сертификат может подтверждать наличие прав управления доменом, то есть удостоверять только домен. Такие сертификаты относятся к категории DV (Domain Validation). Просмотрев сертификат DV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, то есть что при доступе к сайту пользователь не был перенаправлен злоумышленниками на подложный веб-ресурс. Однако сертификат не содержит информации о том, кому принадлежит сайт — в сертификате не будут указаны сведения о его владельце. Это обусловлено тем, что для получения сертификата его заказчику не требуется предоставлять документальное подтверждение своих идентификационных данных. Следовательно, они могут быть вымышленными (например, заказчик сертификата может выдать себя за другое лицо).

Сертификат может подтверждать наличие прав управления доменным именем и существование организации, у которой есть эти права, то есть удостоверять домен и его владельца. Такие сертификаты относятся к категории OV (Organization Validation). Просмотрев сертификат OV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, а также определить, кому принадлежит этот сайт. Для выпуска данного сертификата его заказчик должен документально подтвердить свои идентификационные данные.

Отдельные виды сертификатов, удостоверяющих и домен, и его владельца, выпускаются после расширенной проверки их заказчиков — тем самым исключается возможность предоставления заказчиками подложных данных для получения сертификатов. Такие сертификаты относятся к категории EV (Extended Validation)

Особый вид сертификатов — Сертификаты для разработчиков (Code Signing). Сертификат подтверждает подлинность программ при их загрузке, целостность их содержимого и надежность источника продукта. Технология цифровой подписи подтверждает уникальность программ, которые вы скачиваете в сети и гарантирует, что файлы не были модифицированы.

Промежуточный корневой сертификат — это связующее звено в иерархической цепочке сертификатов. С его помощью пользователь сайта, на котором установлен сертификат, может проверить всю цепочку доверия и убедиться в подлинности выпущенного сертификата.

Для получения информации о порядке ваших действий при изменении наименования компании, отправьте авторизованную заявку из личного кабинета или письмо по адресу ssl@nic.ru. 

Сертификат содержит следующую информацию:

  • Версия
  • Серийный номер
  • Идентификатор алгоритма поиска
  • Имя издателя
  • Период действия
  • Субъект сертификата
  • Информация об открытом ключе субъекта
  • Уникальный идентификатор издателя
  • Уникальный идентификатор субъекта
  • Дополнения
  • Подпись

Финансовая гарантия — компенсация, которая будет выплачена удостоверяющим центром пользователю в случае, если он подвергся атаке злоумышленников на сайте с установленным SSL-сертификатом, и эта атака стала возможной из-за уязвимостей, связанных с сертификатом.

Большинство сертификатов выпускаются для одного домена, за исключением сертификатов с пометкой Wildcard и SAN в названии, которые защищают несколько доменов и стоят дороже. Сертификаты категории Wildcard защищают домен и все поддомены одного уровня: сертификат, заказанный для домена domain.ru защитит также субдомены mail.domain.ru, service.domain.ru и другие. Сертификат категории SAN защищает до 100 разных доменов на одном или нескольких серверах.

Всё ещё остались вопросы?