SSL сертификат для сайта: что необходимо знать?

12.07.2018 в 12:37 |  167

Очень многие владельцы сайтов и интернет-ресурсов рано или поздно сталкиваются с проблемами безопасности авторизации или обмена конфиденциальной информацией между сайтом и пользователем. К такой информации можно отнести:

• авторизация пользователей;
• данные пользователей для администрации сайта (например, Имя или Номер мобильного телефона);
• переписка или чат на сайте и т.д.

Конечно же, никто не хочет, чтоб данная информация стала доступной третьим лицам. Это возможно благодаря SSL сертификату для сайта.

В этой статье мы простыми словами расскажем о последовательности и вплоть до получения сертификата. А состоит этот путь из трёх шагов:

• шаг 1 – создание секретного ключа;
• шаг 2 – подпись данных для центра сертификации (ЦС);
• шаг 3 – подпись данных центром сертификации (ЦС);
• шаг 4 – получение сертификата для сайта от ЦС.

Перед тем, как рассказывать о этих четырёх шагах стоит сказать, где хранятся и что из себя представляют все SSL сертификаты.

Хранятся они в виде текстовых файлов, однако расширение может быть и не txt. Их можно передавать путём текстовых сообщений, на email и т.д. А представляют они из себя набор цифр и букв, знаков + и /. Пример, как выглядит сертификат (здесь приведена часть сертификата):

rlpWnD3T5aAe9gSHzhzlJgUByZso49zy3aybvE+965aHvUen
D5Z95T3bpa48+q8DITZhVSn0COioGiTg+9ajubfMUb8yrJSh
nQ/I5ApF8hYTI3QiM98h/X5lnCElW4h+Qp6FFWFB59+3aIfK
Lcm54JZ+2wqvAyCvT1+U0x8oT0dkcOC/c2iIELYmZ4q/1erm
Cn+rBDqBnSDhzP+Al2jQZkF/9QTQIrPIZdPKHUA+JDHb8GcF
1xiNJ5SyNU+ORgOGbo1/koFkjy8LgkW1hJeyvVjBYLzC/CVm

Шаг 1: создание секретного ключа подписи

Секретный ключ подписи – это сертификат типа KEY и служит он для подписи данных, которые будут передаваться центру сертификации. Это необходимо для того, чтобы после получения сертификата на четвёртом шаге сайт мог проверить, его ли данные вернулись от ЦС.

Создание секретного ключа подписи осуществляется либо на самом сайте (например, в хостинг панели) или на сайте поставщика услуг, который продаёт SSL сертификаты для сайтов.

Этот ключ так же обладает защитой по паролю. Поэтому если пароль будет забыт или утерян, то восстановить доступ к KEY-сертификату будет невозможно ровно, как и любая дальнейшая попытка установки HTTPS соединения.

Шаг 2: подпись данных для центра сертификации

Как правило, ключом KEY подписываются следующие данные: доменное имя, страна, область, город, адрес, email владельца ресурса. Однако эти данные могут отличаться, но основным всегда является имя домена.

Когда данные подписаны клиент получает CSR сертификат.

Итак, мы уже имеем два сертификата: первый – KEY, второй – CSR. Они оба должны быть сохранены в надёжном месте, например, на компьютере владельца интернет-ресурсом.

Шаг 3: подпись данных центром сертификации (ЦС)

На данном шаге в ЦС необходимо передать CSR сертификат, указать некоторые данные о владельце ресурса (Имя, Фамилия, адрес – практически всё тоже самое указывалось и при создание данных для подписи).

Здесь стоит отметить, что передача в ЦС происходит только CSR сертификата. Это позволяет разделить данные и обеспечить секретность ключа.

Шаг 4: получение сертификата для сайта от ЦС

После успешной проверки, что именно этот владелец ресурса имеет доступ к домену, подписываются данные (зачастую только доменное имя) и передаются владельцу ресурса в виде CRT-сертификата. Для установки https соединения нужно на сайт (хостинг) загрузить два сертификата:

• KEY-сертификат – создавали на первом шаге;
• CRT-сертификат – получили только что.

Если данные верны, т.е. если у пользователя есть пароль от KEY-ключа, тогда HTTPS соединение будет настроено верно. Если же по какой-то причине возникает ошибка сертификата, т.е. CRT конфликтует с KEY, тогда:

• неправильный пароль от KEY;
• неправильная пара CRT + KEY;
• сервер не принимает сторонние KEY-сертификаты (например, сPanel).

Удачи!