Браузеры периодически проверяют качество сертификатов, если есть нарушения, то происходит несовместимость, как говорится, не сошлись характерами, а далее развод и каждый при своем, вы с неподходящим сертификатом и браузер вам ничего не должен, а в результате - крах надежд и потеря времени. Поэтому критически важно быть уверенным в достоверности приобретенного вами криптографического протокола. 

  • Let’s Encrypt. Проверенная и надежная организация, которая выдает бесплатные SSL. Проект поддерживают материально многие крупные IT-компании, чтобы интернет стал безопаснее.

  • GlobalSign by GMO. Один из самых крупных сертифицированных центров. GlobalSign выпускают SSL-сертификаты с 1996 года. Центру доверяют такие компании, как Microsoft, Netflix, Airbnb.

  • Sectigo (бывший Comodo). Также один из самых авторитетных центров для получения сертификата. Внимание, на данный момент не работает на территории РФ и РБ.

  • Symantec. Компания выпускает большое количество продуктов для IT-сферы, которые признают по всему миру, уже около 30 лет. Не выдают сертификаты пользователям из РФ.

Однако самый надежный и простой способ - приобрести его у вашего хостинг-провайдера. Это сэкономит вам время, нервы и даст надежду на безопасное будущее. Ведь процесс подключения ваших клиентов по безопасному соединению занимают миллисекунды, а подпорченная репутация - недоверие к вашему сервису запоминается на долгие годы. 

Разберемся, как завоевать мир не привлекая внимание санитаров или подключаем SSL сертификат правильно.

Какие бывают типы проверки SSL-сертификата и чем они отличаются?

DV-сертификаты (Domain Validation). Данный сертификат подтверждает владение доменным именем. Заказать его может как физическое, так и юридическое лицо.Выпуск осуществляется достаточно быстро, на все про все 10-15 минут.

OV-сертификаты (Organization Validation). Данные сертификаты выдаются исключительно для юридических лиц. Центр сертификации проверяет являетесь ли вы владельцем домена, а также проверяет реальное существование организации по данным из открытых источников b2b либо государственных реестров.

Выпуск такого сертификата может занимать от 1 до 3х дней.

EV-сертификаты (Extended Validation). Являются самыми надежными сертификатами. Получить их могут исключительно юридические лица, а для валидации необходимо будет предоставить расширенный пакет документов. Контрольной проверкой будет звонок специалиста удостоверяющего центра на городской контактный номер телефона организации. 

Также EV-сертификаты отличаются наличием зеленой адресной строки, где будет фигурировать название компании. К примеру, именно такими сертификатами пользуются банки для защиты данных своих клиентов. Выпуск EV сертификата занимает до 14 дней.

На примере нашей компании расскажем как произвести заказ и как пройти валидацию того или иного типа сертификата.

Доступные сертификаты

После оплаты заказа вы получите письмо на электронную почту, где необходимо пройти активацию сертификата, для этого можно воспользоваться инструкцией.

Активация в личном кабинете происходит в несколько этапов:

  1. Генерация CSR запроса

  2. Ввод контактных данных

Следующий шаг для (DV, OV, EV сертификатов) это валидация доменного имени.

При необходимости можно воспользоваться инструкцией.

После того, как сертификат будет валидирован удостоверяющим центром на вашу контактную почту будет отправлен сам сертификат и цепочка сертификатов.

На этом получение  DV сертификата закончено, осталось его установить.

 Для сертификатов типа OV и EV валидация продолжается.

Чтобы пройти валидацию юридического лица необходимо:

  • Для компаний РФ необходимо предоставить номер ИНН / ОГРН или выписку из ЕГРЮЛ;

  • Ссылки на открытые b2b базы данных, где будет фигурировать полное наименование компании, юридический адрес, городской номер телефона.

  • Также производитель имеет право запросить DUNS номер ( на данный момент это происходит достаточно редко)

Если компания отсутствует в каталоге D&B, в этом случае необходимо выполнить процедуру получения DUNS номера. 

В России есть представительство Dun & Bradstreet - «Интерфакс — Дан энд Брэдстрит», которое может помочь получить DUNS номер.

На основании информации, полученной из открытых источников, производитель имеет право изменить название организации на соответствующее публичной информации. При этом высылается электронное письмо с просьбой подтвердить изменение данных.

В случае если данные не могут быть заполнены или подтверждены, производитель имеет право отказать в выпуске сертификата.

Завершающим этапом является валидационный звонок указанному контактному лицу с  несколькими вопросами об организации (уточнение названия организации, фамилии и имени контактного лица, доменное имя, а также подтверждение заказа сертификата). Звонок осуществляется поставщиком на английском языке.

После валидации вам будет отправлено электронное письмо с сертификатом.

Для установки сертификата на сайт вы можете связаться с нами либо воспользоваться инструкцией.

Как проверить установлен ли SSL-сертификат

С помощью этого сервиса вы сможете сделать проверку установлен ли на вашем сайте SSL сертификат.

В сервисе будет указана информация: какой SSL сертификат установлен на ваш сайт, поставщик SSL сертификат, срок до которого действует сертификат, а также другие технические детали. Для начала проверки вам необходимо ввести в поле "Server Hostname" название вашего сайта и нажать кнопку "Check SSL".

Изречения из интернета и суждения тех, кто продает SSL

  1. Постулат

Рассматривая, чем бесплатный SSL-сертификат отличается от платного, помимо очевидной экономии, нужно отметить срок их действия. Бесплатные сертификаты действуют сравнительно недолго, и требуют постоянного перевыпуска. Например, популярный сертификат Let`s Encrypt нужно заново выпускать каждые три месяца. 

Реальность

Правда в том, что оба сертификата выглядят равнозначно, и у бесплатного даже больше преимуществ, т.к. его можно поставить в один клик.

  1. Постулат

Также следует обратить внимание на уровень гарантий. Удостоверяющий центр, выпускающий бесплатный сертификат, не несет ответственности за добросовестность ресурса, где тот установлен. Платные цифровые подписи (OV) напротив, дают возможность проверить владельца сайта. Наличие таких гарантий формируют высокое доверие к сайту у пользователей и в поисковых системах. 

Реальность

Но по факту, никто не смотрит и не проверяет это. Это больше маркетинг для тех, кто продает такие сертификаты.

  1. Постулат

Еще одно существенное отличие платных сертификатов от бесплатных — наличие у них финансовых гарантий. В случае утечки пользовательских данных с ресурса, где установлен платный SSL-сертификат, пострадавшая сторона получит компенсацию от центра сертификации. Сумма финансовых гарантий зависит от конкретного вида сертификата. 

Реальность

Но по факту, еще не было таких судов, т.к. доказать взлом SSL сертификата - практически невозможно.

  1. Постулат

Установка бесплатных сертификатов связана с решением ряда технических задач, что требует определенных навыков. 

Реальность

Самому без знаний linux установить такой сертификат на сервер и настроить автоматический выпуск - будет сложновато.

  1. Постулат

Бесплатные сертификаты, тем не менее, обладают ключевым преимуществом — доступностью. Их часто используют низкобюджетные проекты, стартапы и частные лица, которые не могут позволить себе платные.

Реальность

Ну или просто умеют их ставить ;)

Комментарии (17)


  1. makovke
    28.10.2022 22:33

    короче, надо научиться ставить сертификаты самостоятельно!


    1. AdminVPS Автор
      29.10.2022 20:56

      Для этого инструкцию и писали;-)


  1. lumag
    29.10.2022 02:54
    +1

    "Зеленой" адресной строки для EV сертификатов уже сто лет в обед нет. Начиная с Chrome 77 и Firefox 70. Эти версии были выпущены во второй половине 2019 года.


    1. AdminVPS Автор
      29.10.2022 20:55
      -1

      да, действительно новые браузеры уже не отображают зелёную строку, благодарим за комментарий и внимательность!


  1. saboteur_kiev
    29.10.2022 05:19
    +1

    Реальность

    Правда в том, что оба сертификата выглядят равнозначно, и у бесплатного даже больше преимуществ, т.к. его можно поставить в один клик.

    Реальность

    Самому без знаний linux установить такой сертификат на сервер и настроить автоматический выпуск - будет сложновато.


    Вы уж определитесь сложновато или в один клик?

    Реальность

    Но по факту, никто не смотрит и не проверяет это. Это больше маркетинг для тех, кто продает такие сертификаты.

    Хм, хм. Смотря про какую страну идет речь. Проверка документов компании в том, что компания существует и зарегистрирована для страны, где налоговая служба страшнее полиции - вполне даже норм. Мелкие мошенники не будут заморачиваться и создавать фиктивную компанию, чтобы зарегать платный коммерческий корпоративный сертификат.


    1. AdminVPS Автор
      29.10.2022 20:53
      -2

      Определились) Если с панелью управления, то пара кликов, а вот если без неё, то понадобится и время, и знания для самостоятельной установки. Никаких противоречий) Спасибо за внимательность.


  1. slavanikolsky
    29.10.2022 09:38

    Бесплатные сертификаты, тем не менее, обладают ключевым преимуществом — доступностью. Их часто используют низкобюджетные проекты, стартапы и частные лица, которые не могут позволить себе платные.

    Вы тут решили обидеть?

    ПС

    Их используют те, кто умеет пользовать бесплатными сертификатами. Например: Застройщики новостроек, у которых больше всего сайтов под разные рекламные каналы. Строительные компании держат в штате IT специалистов, а также привлекают сторонних подрядчиков. И после все написанного выше вы, считаете они не могут позволить себе платные сертификаты? Могут, но не видят смысл платить за то, что можно условно получить «бесплатно», им выгодней эти деньги переложить в ЗП IT сотрудников.

    Видимо вы, не знаете, в чем есть неудобство бесплатных сертификатов? В статье это не написали, значит не до конца в теме. Их надо обновлять раз в 3 месяца.


    1. AdminVPS Автор
      29.10.2022 09:54

      именно это мы и указали в первом постулате, что "Бесплатные сертификаты действуют сравнительно недолго, и требуют постоянного перевыпуска. Например, популярный сертификат Let`s Encrypt нужно заново выпускать каждые три месяца."


    1. lumag
      29.10.2022 12:11
      +4

      Скрипт автоматом обновит и перезапустит веб-сервер. Никакого неудобства. Скорее наоборот, с годичными сертификатами было проще забыть обновить вовремя.


      1. slavanikolsky
        29.10.2022 13:13
        -2

        В теории, но на практике скрипт не всегда отрабатывает и продление автоматом не происходит.


        1. lumag
          29.10.2022 13:14

          Отладку скриптов никто не отменял. Уже достаточно давно dehydrated работает, проблем не возникало.


          1. randomsimplenumber
            29.10.2022 15:55

            Иногда (очень иногда), что-то внутри certbot залипает. Не воспроизводится. Как отлаживать скрипт, который запускается автоматически раз в 3 месяца?


            1. lumag
              29.10.2022 15:58
              +1

              Я в какой-то момент перешел на dehydrated, не залипает.
              К вопросу об отладке скриптов. Его никто не мешает запускать чаще. За это не банят. А если совсем не воспроизводится, никто не мешает по старинке накидать отладочной печати в скрипт, а потом в сообщениях cron читать, что скрипт вывалил и где отвалился.


            1. GoldGoblin
              29.10.2022 18:43
              +1

              Смотреть логи


            1. vitaly_il1
              29.10.2022 21:08

              Он запускается ежедневно или раз в два дня по умолчанию.


            1. saboteur_kiev
              30.10.2022 03:08

              1. запускать чаще.

              2. настроить мониторинг и получать уведомления


  1. nero211
    31.10.2022 09:12

    LE - сложность установки? тот же ISP manager и parallel plesk делают это в 2 тыка мышки обычного пользователя (из них 1 "тык" - это вход в панель управления). где сложности? да и маны для развертывания на вэб сервер без панели управления обсосаны уже не один раз. ню... такое в общем.