Что такое самоподписанный SSL-сертификат
В этой статье расскажем, что будет, если установить на сайт самоподписанный SSL-сертификат. Если для вас это новая тема, прочитайте также, что такое SSL и центры сертификации.
Самоподписанный или самозаверенный сертификат — это SSL-сертификат, который пользователь создал самостоятельно. Технически он ничем не отличается от платных сертификатов, но при переходе на сайт с таким сертификатом посетитель увидит предупреждение:
Самоподписной сертификат может создать кто угодно, даже мошенник. Поэтому браузер подсказывает: на сайте стоит сертификат от неизвестного производителя, мы не уверены, что ему можно доверять. Даже если сайт надёжный, неподготовленный человек может испугаться ошибки и закрыть вкладку.
Таких ситуаций не бывает с платными SSL-сертификатами. Их выпускают специальные организации — центры сертификации. Они проверяют каждый заказ и берут на себя риск, что сертификат получит мошенник. С годами несколько центров сертификации заработали репутацию надёжных компаний, поэтому популярные браузеры распознают их сертификаты автоматически.
Хотели бы получить Wildcard SSL в Украине? Мы предлагаем доступные сертификаты от центров сертификации Comodo и GeoTrust.
Как сгенерировать самоподписанный сертификат SSL на Linux сервере
Для того чтобы сгенерировать самоподписанный сертификат потребуется установить на сервер пакет openssl (часто он установлен по умолчанию)
Файлы приватного ключа и цепочки сертификатов генерируются одной командой
После ее выполнения возникает ряд диалогов, в которых нужно указать данные организации и домен для которого выпускается сертификат
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:some state
Locality Name (eg, city) []:mycity
Organization Name (eg, company) [Internet Widgits Pty Ltd]:company
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:example.com
Email Address []:mail@example.com
Результатом будут создавшиеся файлы example.pem и example.key
Обычно этого достаточно и файлы уже можно использовать
Путь к ним теперь необходимо будет указывать при настройке различного ПО, использующего сертификаты: веб- (Apache, Nginx) и почтовых серверов (Postfix, Exim, Dovecot).
Генерация самоподписанного сертификата в несколько шагов
Далее описан тот же процесс, что и ранее, но не в одной команде, а по шагам.
Создаем запрос на сертификат на основе ключа
Появится файл example.src
Парольная фраза при использовании приватного ключа
После этого парольная фраза уже не понадобится
Генерируем сертификат
Читайте также про то, как установить SSL сертификат на Apache и на Nginx
Всё о SSL-сертификатах простыми словами: устройство, типы, выбор
Если вы уже сталкивались с созданием собственного сайта, то наверняка краем уха слышали про сертификат SSL и HTTPS — поэтому в нашем новом посте расскажем, как защитить данные посетителей сайта, чем HTTPS отличается от HTTP, что такое SSL-сертификат и какие виды сертификатов существуют?
Что такое SSL-сертификат
SSL (Secure Sockets Layer — уровень защищённых сокетов) — это протокол шифрования, который позволяет кодировать данные для более безопасного обмена.
Проще говоря, сертификат обеспечивает зашифрованное соединение между человеком и используемым сайтом. Когда вы смотрите видео на YouTube, загружаете фотографию в Facebook или открываете Instagram, ваш браузер и сервер обмениваются информацией.
Благодаря SSL информация, которая передаётся, защищена от посторонних: администратора Wi-Fi сети, провайдера, оператора и других лиц — значит она не может быть перехвачена и использована в мошеннических целях. Кроме того, SSL-сертификат выступает в качестве подтверждения надёжности ресурса и даёт возможность проверить, кто является его настоящим владельцем.
Можно сказать, что SSL-сертификат — это своего рода уникальная цифровая подпись сайта.
Такой сертификат нужен всем сайтам, которые в каком-либо виде работают с персональными данными пользователей: от логинов и паролей до более подробных. В первую очередь это, конечно, банки, платёжные системы, интернет-магазины и коммерческие платформы.
Проверить наличие SSL несложно. Для этого достаточно посмотреть на адресную строку в браузере. Слева от адреса сайта вы увидите значок с изображением закрытого замка.
А если на сайт установлен OV или EV сертификат, то при клике на замочек, появятся данные об организации, которой принадлежит сайт.
В таких типах сертификатов во вкладке «Подробнее» вы найдёте следующую информацию:
Разница между HTTP и HTTPS
Как вы уже знаете, каждый вбитый в поисковую строку запрос проходит путь от вас (пользователя) к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP. Аббревиатура расшифровывается как Hypertext Transfer Protocol. И всем он хорош — только данные не шифрует, а значит злоумышленники могут перехватить вашу личную информацию (данные банковских карт, пароли, реквизиты).
Для безопасности данных был внедрён протокол HTTPS — HyperText Transfer Protocol Secure (то есть защищённый протокол HTTP). В этом случае передача данных осуществляется по такому же протоколу, но с криптографическим шифрованием, о чём говорит дополнительная буква «S». HTTPS работает благодаря SSL/TLS-сертификату.
SSL/TLS-сертификат ― это цифровая подпись сайта. С её помощью подтверждается его подлинность.
Перед тем как установить защищённое соединение, браузер запрашивает этот SSL-сертификат и обращается к центру сертификации, чтобы подтвердить легальность документа. Если он действителен, то браузер и сервер доверяют друг другу и договариваются о разовом шифре. Так происходит каждую сессию, то есть каждый раз при обмене запросами и ответами. Вот откуда взялась и что означает «S» в HTTPS.
Каким сайтам нужен SSL?
SSL-сертификат необходимо подключать к сайтам, которые работают с финансами и персональными данными пользователей. Это интернет-магазины, банки, платёжные системы, социальные сети, почтовые сервисы и любые другие проекты.
SSL-сертификат лучше ставить с самого начала, чтобы иметь более высокие позиции в поисковых системах. Если всё же изначально не использовался сертификат, то переехать можно быстро, а вот поисковики могут увидеть это только спустя пару месяцев. Тем более сегодня поставить SSL можно и бесплатно.
Какие виды SSL-сертификатов есть и кто их выдаёт?
Есть специальные центры сертификации или как ещё называют — удостоверяющие центры (УЦ). Вы могли встречать названия таких УЦ: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert. Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.
Кроме того, есть проекты, CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такой сертификат выпускается на 3 месяца и далее требует продления. Однако во время их установки и дальнейшей работы есть ряд нюансов, которые стоит учитывать. Например, при выборе сертификата Cloudflare учтите, что он выдаётся сразу на 50 сайтов. Тем самым сертификат будет защищать не только ваш домен, но и ещё несколько чужих, что несёт за собой риски безопасности. Также у Cloudflare нет печати доверия. Если говорить о недостатках LetsEncrypt, то сюда можно отнести поддержку далеко не всех браузеров, отсутствие гарантии сохранности данных сайта и печати доверия.
Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.
Итак, существует несколько типов SSL-сертификатов по источнику подписи и типу проверки данных.
Так вот, разница между самоподписанными сертифкатами и, выданными УЦ, как раз и заключается в том, что браузер знаком с УЦ и доверяет ему, и при использовании такого сертификата ваш посетитель никогда не увидит огромное уведомление о небезопасности ресурса. Купить такой SSL-сертификат можно как напрямую в УЦ, так и через хостинг-провайдеров.
Подписанные доверенным центром сертификаты, в свою очередь, тоже подразделяются по типу проверки данных:
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:
Какой SSL-сертификат выбрать?
Итак, мы определились с тем, что SSL-сертификаты различаются между собой не только брендом и ценой. Сегодняшний ассортимент предложений предусматривает широкий круг задач, для которых может потребоваться SSL.
Например, если вы просто хотите уберечь пользователей вашего веб-сайта от навязчивых предупреждений браузера о посещении непроверенного сайта, будет достаточно за несколько минут получить простой DV (Domain Validation) сертификат. Если же вы используете свою интернет-площадку для операций, требующих повышенного уровня безопасности данных компании и клиентов — стоит задуматься об EV (Extended Validation) сертификате. А если вы используете не один, а несколько веб-адресов для сайта или сайтов компании — для вас на рынке представлены сертификаты Wildcard и SAN.
Для выбора оптимального сертификата для определённого сайта нужно изучить, что предлагают центры сертификации, обращая внимание на следующие аспекты:
4 причины установить SSL-сертификат
Безопасность данных
Конечно же, стоит начать с этого пункта, ведь в этом заключается основная цель использования SSL-сертификатов. Если вы работаете с персональными данными пользователей, вам просто необходимо их шифровать при передаче к серверу. Само по себе использование сертификата не лекарство от всех бед, злоумышленники могут перехватить данные ещё до момента передачи их на сервер на заражённом компьютере или устройстве посетителя сайта. Однако использование протокола шифрования — значительный вклад в снижение уязвимости сайта.
Доверие к сайту
Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.
Поддержка сторонних сервисов
Некоторые платёжные системы (Яндекс.Деньги) и сервисы (Голосовой помощник Google Chrome) работают только с сайтами с HTTPS протоколом. Если специфика вашей работы подразумевает взаимодействие с аналогичными сервисами, рекомендуем вам установить SSL-сертификат.
Фактор ранжирования
Google не раз заявлял, что поддержка HTTPS протокола станет одним из факторов ранжирования. Для Яндекса сайты по HTTP и HTTPS протоколам участвуют в ранжировании на равных, однако, поисковик обозначает, что подключать SSL стоит, если на сайте можно совершать покупки и другие финансовые операции.
SSL-сертификат от авторитетного УЦ говорит о надёжной защите пользовательских данных — это не только хороший способ заслужить доверие пользователей и поисковых систем, но и большой вклад в стабильное продвижение и развитие сайта.
SSL-сертификаты
Время чтения: 9 мин
Обновлено 27 октября 2021
В этой статье разбираются детали шифрования данных в интернете. Если хотите узнать больше про шифрование в целом, прочитайте статью «Шифрование»
Кратко
SSL-сертификат необходим для защиты данных пользователя. Если в адресной строке браузера отображается замочек рядом с адресом сайта, значит всё в порядке, и данные пользователя передаются на сервер в зашифрованном виде.
SSL-сертификат — это набор информации в бумажном или электронном виде, состоящий из:
SSL-сертификат — это открытый ключ, способ применения которого имеет юридическую силу и право владения которым подтверждается авторизованным провайдером. Применяются сертификаты в рамках протокола SSL на этапе формирования сеанса передачи данных.
Как понять
С 2014 года компания Google в числе прочих стала активно продвигать стратегию использования сертификатов безопасности сайтов. Основной целью использования сертификатов является безопасность пользователей при передаче чувствительных данных. В качестве побочного эффекта можно отметить повышение доверия к сайту, поскольку для установки сертификата владелец должен подтвердить владение доменом. С июля 2018 года Google рекомендации перевёл в разряд требований. Google Chrome по умолчанию стал блокировать переход на сайт, на котором не установлен SSL-сертификат. После этого многие браузеры поступили таким же образом.
Когда пользователь заходит на сайт по протоколу HTTPS, используя защищённое соединение, браузер обращается к сертификату безопасности. В сертификате содержаться данные о владельце сайта, подтверждённые удостоверяющим центром или органом, которому пользователь доверяет. После проверки данных владельца сайта, которая производится на стороне удостоверяющего центра, браузер формирует сеансовый ключ для обмена данными с сайтом в рамках системы симметричного шифрования и пересылает его сайту. На стороне сайта ключ расшифровывается с помощью закрытого ключа, который хранится на сервере. В дальнейшем между браузером и сайтом устанавливается сеанс обмена данными в зашифрованном виде на основе симметричного шифрования. Шифруются не только данные самого сайта, но и данные пользователя, обрекая злоумышленника на неудачу.
Сертификат открытого ключа может быть получен несколькими способами:
Рассмотрим схему обмена данными двух сторон A и B с помощью SSL-сертификата. Принимается, что обе стороны доверяют третьей стороне T, которая соответствует центру сертификации. У сторон A и T есть по паре ключей. Каждая пара состоит из открытого и закрытого ключа.
Сторона A пересылает стороне T свой открытый ключ. Сторона T с помощью определённых механизмов устанавливает соответствие между открытым ключом стороны A и самой стороной A (физическое или юридическое лицо). После этого сторона T пересылает стороне A сертификат, который содержит:
Когда сторона A пересылает стороне B свой сертификат, сторона B сравнивает сгенерированную хэш-сумму на основе содержимого сертификата и хэш-сумму, которая получается при расшифровке электронной подписи стороны T с помощью открытого ключа. Если хэш-суммы совпадают, то открытый ключ стороны A действительно принадлежит именно ей. После этого сторона B может шифровать данные с использованием открытого ключа стороны A и пересылать ей эти данные в зашифрованном виде. И только сторона A может расшифровать их.
Такая схема является самой простой при использовании протокола транспортного уровня TLS.
Подробнее об уровнях сетевой модели вы можете почитать в статье «Модели сетевого взаимодействия»
Как начать
Рассмотрим стандартный вариант использования, когда владельцу необходимо установить сертификат на сервер для безопасной работы своего сайта. Владелец должен обратиться в удостоверяющий центр, чтобы ему выдали соответствующий сертификат. И тут глаза разбегаются как от разнообразия центров, так и от разнообразия сертификатов.
Удостоверяющие центры
Удостоверяющий центр — это организация, которая может выдавать сертификаты и электронные подписи физическим и юридическим лицам. Если клиент и владелец сайта доверяют центру, то использование цифровой подписи или SSL-сертификата легитимно. Если центр себя дискредитирует, то ему просто перестанут доверять. То есть таких центров может быть много. Вся суть в доверии.
Можно выбирать любой понравившийся центр, но нужно принимать во внимание несколько факторов:
Для некоммерческих проектов можно получить бесплатный сертификат для сайта с помощью центра сертификации Let’s Encrypt.
Какие бывают сертификаты
Электронная форма сертификата определяется стандартом X.509. На уровне законодательства во многих странах есть свои законы или правила, которые повторяют, дополняют или уточняют детали этого стандарта. В области веб-приложений, в частности, используется стандарт RFC.5280. В нём описаны процедуры создания и отзыва сертификатов, которым должны следовать центры сертификации.
SSL-сертификаты бывают нескольких классов, принадлежность к которым, как правило, является в основном маркетинговой стратегией той или иной компании. Но всегда действует принцип: с повышением класса сертификата растёт степень доверия, поскольку сертификат становится более надёжным как с точки зрения защиты (используются более совершенные шифры), так и с точки зрения постоянной проверки со стороны центра сертификации. Чем класс выше, тем больше внимания уделяется сертификату со стороны удостоверяющего центра.
Например, авторитетная американская компания VeriSign предложила такую классификацию:
В России больше прижилась схема всего из трёх классов:
Согласно этой классификации для физических лиц доступны:
Среди сертификатов начального уровня чаще всего пользуются следующими решениями от компаний GlobalSign, Comodo и других:
Тип сертификата Wildcard означает, что сертификат может быть использован не только для домена второго уровня, но и для всех поддоменов.
DomainSSL, AlphaSSL, OrganizationSSL и Comodo SSL — наиболее популярные сертификаты. При этом сертификаты имеют наименьший уровень доверия. Это дёшево и сердито. Практически никто из пользователей сайта никогда не задумается о том, какой сертификат используется.
Если важен уровень доверия, то можно использовать сертификаты бизнес-класса или сертификаты с расширенной проверкой. Этот вариант подходит очень крупным компаниям. У таких сертификатов есть множество дополнительных опций, нужных только крупному бизнесу. К сертификатам бизнес-класса относятся:
А к сертификатам с расширенной проверкой подлинности относятся:
Выше приведены лишь самые распространённые сертификаты, которые активно используются в мире. Есть сертификаты, которые можно оформить только на юридическое лицо, а бывают те, которые допускают использование и физическими лицами.
Что такое самоподписанный сертификат ssl
Создание самоподписанных сертификатов и CSR
В этом разделе показано использование команд OpenSSL для выполнения задач, связанных с сертификатами X.509. Для иллюстрации всех функций работы с сертификатами он охватывает генерацию запросов на подписание сертификата (CSR), а также того, что в просторечии называется самоподписанными сертификатами. Термин «самоподписанные» требует небольшого разъяснения, поскольку у него два потенциальных значения.
Если подходить строго, то этот термин означает сертификат, в котором значения атрибутов issuer и subject совпадают. В этом смысле все корневые сертификаты являются самоподписанными. Второе значение — то, когда пользователь становится сам себе удостоверяющим центром (УЦ), что является альтернативой покупке сертификата X.509 у официально признанных УЦ, таких как GoDaddy или Thawte (и других), которые уже являются доверенными (их корневые сертификаты (сертификаты УЦ) предустанавливаются на компьютер пользователя основными инструментами работы с сертификатами, например, браузерами). Полученный браузером с веб-сайта во время фазы протокола рукопожатия TLS/SSL сертификат пользователя (конечного субъекта), изданный одним из официально признанных УЦ, может быть отслежен (и, следовательно, аутентифицирован) браузером вплоть до удостоверяющего центра (УЦ) с использованием атрибута issuer полученного сертификата. Чтобы браузер не выводил сообщений об ошибках, должен быть предустановлен корневой сертификат УЦ (а также любые промежуточные сертификаты). Для определения установленных сертификатов используется термин якорь доверия. Обычно такие сертификаты устанавливаются в структуре keystore (хранилище ключей), которая может быть защищена (или не защищена) паролем. Корневые сертификаты большинства коммерческих УЦ и многих национальных УЦ распространяются и инсталлируются с программным обеспечением браузеров, таких как MSIE, Firefox, Opera и т.д., а также в составе операционных систем или библиотек языков программирования, таких как Java.
Далее в этом разделе рассматриваются самоподписанные сертификаты по второму значению этого термина — пользователь становится сам себе удостоверяющим центром. Такая форма самоподписанных сертификатов может быть использована либо во время тестирования, либо в рабочей среде, например, когда пользователь хочет организовать контроль доступа в какой-либо частной сети, закрытой группе пользователей или каком-либо другом сообществе. В этом случае отношения доверия, обычно ассоциированные с внешним УЦ, могут рассматриваться как неявные из-за характера организации подписания таких сертификатов.
Когда программное обеспечение с поддержкой TLS/SSL (браузер) впервые встречает такой самоподписанный сертификат и подразумевается, что у браузера нет копии соответствующего корневого сертификата, будет сгенерировано сообщение, спрашивающее пользователя, желает ли он принять сертификат. С другой стороны, самоподписанный корневой сертификат может быть предустановлен или импортирован на компьютер пользователя, в этом случае браузер не будет генерировать сообщения об ошибке.
Примечание по срокам действия сертификатов и размерам ключей: Большинство сертификатов, описанных в последующих подразделах, имеют срок действия от 1 до 3 лет. Однако, большинство коммерческих корневых сертификатов, поставляемых с браузерами, имеют сроки действия 10 лет и больше! Нет ничего страшного в использовании достаточно длительных сроков действия сертификатов, чтобы не беспокоиться об их постоянном перевыпуске. Текущая (2011 год) рекомендация по длине ключа RSA, — 2048 бит, — действительна до 2030 года (вследствие чего срок действия многих ныне действующих корневых сертификатов истекает около 2028 года, давая им запас времени в пару лет для увеличения размера ключа, прежде чем ключи размером 2048 бит не перестанут быть легитимными в 2030 году). Рекомендации RSA по силе и требуемым срокам действия ключей. Аналогичные рекомендации по размеру (2048 бит) и срокам действия (до 2030 года) ключей также содержатся в специальной публикации 800-57, часть 1, ревизия 2, таблица 4 Национального института стандартов и технологий США (National Institute of Standards and Technology, US NIST).
Обзор процесса
В приведённых далее последовательностях действий используются команды OpenSSL (тестировались на OpenSSL 1.1.1d) для генерации самоподписанных сертификатов X.509, которые могут быть установлены и использованы серверными системами TLS/SSL, такими как веб, FTP, LDAP или почтовыми системами (агентами SMTP). Команды OpenSSL используют множество параметров, в том числе ответы по умолчанию, сроки действия и атрибуты сертификатов, из файла openssl.cnf (в FreeBSD — /etc/ssl/openssl.cnf), и если Вы собираетесь работать с сертификатами всерьёз, стоит просмотреть и, по мере необходимости, отредактировать этот файл, чтобы потом печатать поменьше параметров в командной строке.
Примечание: Есть серьёзные опасения, что ошибки, допущенные при редактировании openssl.cnf или при экспериментах с CA.pl (полезный скриптовый файл), могут привести к падению небес на землю. Создайте резервную копию всех подобных файлов, прежде чем начинать что-либо делать, тогда Вы в любой момент сможете вернуть Вашу систему в первоначальное состояние, если что-то пойдёт не так. Помните: всё что Вы делаете, Вы делаете на свой страх и риск.
Создаваемые при работе с сертификатами файлы будут содержать либо открытые ключи, которые обычно не требуют особенной защиты, либо закрытые ключи, которые необходимо хорошо защищать. Будут ли оба типа файлов храниться в одной структуре каталогов или нет — зависит от локальной политики безопасности.
Как и с любым сложным программным обеспечением, существует огромное множество способов что-либо сделать, но из них лишь два-три могут оказаться действительно полезными методами (Really Useful Methods, RUM™). Окончательный выбор зависит от требований локального окружения.