Информация для владельцев сайтов о SSL сертификатах

В криптографии орган сертификации или центр сертификации ( ЦС ) - это организация, которая выпускает цифровые сертификаты . Цифровой сертификат подтверждает принадлежность открытого ключа названным субъектом сертификата. Это позволяет другим (полагающимся сторонам) полагаться на подписи или на утверждения, сделанные о закрытом ключе, который соответствует сертифицированному публичному ключу. ЦС выступает в качестве доверенной третьей стороны, доверенной как субъектом (владельцем) сертификата, так и стороной, полагающейся на сертификат. Формат этих сертификатов определяется стандартом X.509 . Одним из наиболее распространенных способов использования сертификатов является подписание сертификатов, используемых в HTTPS , протоколе безопасного просмотра для World Wide Web . Еще одно распространенное использование заключается в выдаче удостоверений личности национальными правительствами для использования в электронном оформлении документов.

Выбор сертификата

• Class 1 - индивидуальный сертификат для использования физическими лицами для электронной почты.
• Class 2 - сертификат для организаций без удостоверения самой организации.
• Class 3 - сертификат для серверов и ПО с проверкой личности и / или организации
• Class 4 - сертификат для онлайн бизнеса и хозяйственного взаимодействия между компаниями.
• Class 5 - сертификат для частных или правительственных организаций занимающихся обеспечением безопасности.

• Восприятие сертификата в зависимости от бренда Центра Сертификации
• Рекомендация DigiCert по выбору класса сертификата в зависимости от сферы деятельности Вашей компании

Как выбрать свой ЦС?

Крайне важно выбрать наиболее подходящий Центр сертификации для вашего сертификата. Вы должны заботиться о репутации ЦС вместе со своим удобством и ценами на сертификат, выбирая для них лучший вариант.

Что такое CSR?

Запрос CSR или Certificate Signing - это блок зашифрованных данных, который создается на сервере, на котором будет использоваться сертификат. Он содержит информацию, необходимую для создания вашего сертификата, например, название вашей организации, общее имя (доменное имя), местонахождение и страну. Он также содержит открытый ключ, который будет включен в ваш сертификат. Частный ключ обычно генерируется одновременно с созданием CSR.

Зачем мне нужен CSR?

Орган сертификации может использовать CSR для создания вашего SSL-сертификата, но ему не нужен ваш закрытый ключ. Вам нужно хранить секретный секрет. Сертификат, созданный с конкретной CSR, будет работать только с закрытым ключом, который был сгенерирован с ним. Следовательно, если вы потеряете закрытый ключ, сертификат больше не будет работать.

Как выглядит CSR?

Большинство CSR создаются в формате PEM с кодировкой Base-64. Этот формат включает в себя «--- BEGIN CERTIFICATE REQUEST ---» и «--- END CERTIFICATE REQUEST ---» строки в начале и конце CSR. и выглядит примерно так:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Каково содержание CSR?

1. Common Name (CN): Полное доменное имя вашего FQDN.
2. Организация (O): Юридическое название вашей организации.
3. Организационная единица (OU): разделение вашей организации, обрабатывающей сертификат.
4. Город / область (L): город, где расположена ваша организация.
5. Состояние (S): состояние, в котором расположена ваша организация.
6. Страна (C): двухбуквенный ISO-код для страны, где расположена ваша организация.
7. Адрес электронной почты (email): адрес электронной почты, используемый для связи с вашей организацией.
8. Открытый ключ (Public Key): открытый ключ, который войдет в сертификат.

Как создать CSR?

Это зависит от типа веб-сервера, который будет использовать сертификат. Необходимо обратиться к инструкциям поставщика, чтобы создать запрос CSR или воспользоваться специальными инструментами, например OpenSSL или другими

Никогда не генерите Private Key и запрос CSR для промышленного использования на on-line генераторах - ваш PrivateKey становится доступным третьим лицам т.е. происходит компрометация Private Key уже на этапе заказа

На какие еще вопросы я должен ответить при выборе SSL сертификата?

Проблемы, с которыми сталкиваются системные администраторы, устанавливающие и поддерживающие сертификаты и ключи SSL / TLS, могут варьироваться от простого до сложного. Проблемы, с которыми вы столкнулись, на этом не заканчиваются, нужно знать качество защиты, уровень и надежность верификации владельца сертификата, длины ключа и как используется этот ключ...

• Используйте сертификаты от надежного центра сертификации - thawte, GeoTrust, DigiCert
• Защитите свой закрытый ключ
• Убедитесь, что ваш сертификат не истекает
• Обеспечение покрытия доменных имен
• Обеспечить цепочку сертификатов
• Используйте инструменты для проверки работы вашего сертификата
• Убедитесь, что вы используете самую последнюю версию вашего дистрибутива сервера и самую последнюю библиотеку SSL.
• Отключить SSL v2
• Рассмотрите возможность отключения SSL v.3.1
• Не используйте смешанный контент HTTP и HTTPS.
• Отключить небезопасное повторное обсуждение
• Использовать постоянные соединения
• Шифрование 100% трафика
• Убедитесь, что безопасные файлы cookie используются
• Используйте HTTP-заголовок do-not-cache для конфиденциальных данных
• Использование защищенных протоколов и Cipher-Suites
• Включить возобновление сеанса
• Внедрить HSTS

Например:
Apache SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH SSLHonorCipherOrder on;
Nginx ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH; ssl_prefer_server_ciphers on;