Виды SSL-сертификатов и их особенности
Через Timeweb можно заказать сертификаты, выпускаемые центром сертификации Sectigo, а также бесплатные сертификаты, выпускаемые некоммерческим центром сертификации Let’s Encrypt.
Все представленные сертификаты, кроме EV SSL, являются сертификатами с проверкой домена (DV), которые подтверждают подлинность доменного имени. Они не содержат информации о компании и могут быть оформлены на физическое лицо.
Sectigo
Sectigo Positive Wildcard SSL — этот вид сертификата будет работать на домене и всех поддоменах одного домена. Имеет упрощенную процедуру проверки при выпуске. Срок выпуска сертификата составляет несколько часов.
Особенности данных сертификатов:
Особенности использования сертификата Sectigo Positive Wildcard SSL
Сертификаты SSL Wildcard, работающие на домене и всех его поддоменах, в рамках нашей системы устанавливаются на конкретную директорию. Соответственно, для корректной работы сайта при использовании такого типа сертификата необходимо выполнение следующих условий:
все поддомены должны быть привязаны к директории, на которую установлен сертификат;
файлы сайтов, размещенных на поддоменах, должны быть загружены в подпапки в основной директории сайта;
Let’s Encrypt
Let’s Encrypt предоставляется только на тарифных планах виртуального хостинга (Year+, Optimo+, Century+, Millennium+, 1Сайт, Eterno, Premium).
Необходимые условия для установки Let’s Encrypt
Для успешной установки Let’s Encrypt должны быть соблюдены несколько условий:
Также ошибка установки сертификата может возникнуть, если недоступен так называемый «проверочный путь». При выпуске сертификата создается проверочный файл, который размещается по пути:
Однако настройки отдельных web-приложений могут запрещать размещение файлов по такому пути. В этом случае в панели управления в статусе сертификата будет выведено сообщение «Ошибка». Для устранения проблемы необходимо обратиться в службу поддержки.
SSL Wildcard
SSL Wildcard — сертификат, который выпускается бессрочно и работает на домене и всех его поддоменах.
Сертификат оплачивается единоразово в момент заказа, после чего бесплатно продлевается автоматически.
SSL Wildcard предоставляется на тарифных планах виртуального хостинга и для выделенных серверов с нашим администрированием.
Что такое Wildcard SSL от Jelastic и как он поможет сэкономить?
Не так давно REG.RU представил пользователям облачные сервисы на базе хостинг-платформы Jelastic. Несмотря на то, что пользоваться ей достаточно просто, к специалистам техподдержки REG.RU часто обращаются с уточняющими вопросами по поводу работы с платформой Jelastic PaaS. В Сети на текущий момент очень мало подробных инструкций на русском языке, поэтому иногда мы будем рассказывать в блоге REG.RU о том, что больше всего интересует наших клиентов.
А теперь переходим непосредственно к теме поста.
Что такое Wildcard SSL?
Wildcard SSL – это универсальный SSL-сертификат, который позволяет направить сразу несколько хостов с одного доменного имени на один сервер. Это позволяет избавиться от необходимости покупать индивидуальные SSL-сертификаты для каждого из своих поддоменов. Именно поэтому Wildcard SSL является идеальным решением для сайтов крупных организаций и коммерческих интернет-проектов.
Плюсы Wildcard SSL
• Стоимость. Покупка Wildcard SSL-сертификата позволит пользователю сохранить кругленькую сумму, избавив от необходимости приобретать несколько традиционных сертификатов.
• Экономия времени. Больше не придется тратить время, настраивая сразу 20 различных индивидуальных SSL-сертификатов, и делать это каждый раз, когда наступает время их обновления. Установить и в дальнейшем поддерживать нужно будет только один SSL-сертификат.
Wildcard SSL-сертификат – это:
• Удобное управление. Процесс настройки SSL-сертификата максимально упрощен и не требует каких-либо специальных знаний – все делается в несколько кликов.
• Быстрая проверка. Благодаря Wildcard SSL, сайт будет проверен и запломбирован так быстро, как это возможно.
• Общепринятый стандарт шифрования данных. Несмотря на удобство использования и низкую цену жертвовать безопасностью не придется. Посетители веб-сайта всегда будут чувствовать себя максимально защищенными.
Как подключить Wildcard SSL?
1. Зарегистрируйтесь на сайте REG.RU по адресу: https://app.jelastic.regruhosting.ru/ или войдите в уже существующую учетную запись Jelastic;
2. Затем на панели управления Jelastic нажмите «Создать окружение»:
3. Войдите в «Режим мастера настройки» и выберите ваш сервер приложений (например, Tomcat 7);
4. Нажмите на кнопку «SSL» и переключитесь на «Jelastic SSL» (другое название Wildcard SSL);
5. Введите название вашего окружения и нажмите кнопку «Создать».
Это все, что нужно сделать!
В следующий раз, когда вы нажмете кнопку «Открыть в браузере», вы увидите, что связь с окружением теперь происходит через HTTPS.
Примечание:
• Wildcard SSL доступен только для сайтов на *.jelastic.regruhosting.ru, не для пользовательских URL;
• Wildcard SSL будет отключен при включении IPv4 для любого узла вашего окружения:
Wildcard SSL от Jelastic поможет сэкономить время и деньги, потраченные на защиту каждого из поддоменов.
Для кого выгоден wildcard SSL сертификат и как им управлять
Получение SSL сертификата и использование защищенного протокола HTTPS стало нормой для любого серьезного сайта. Без выполнения этих условий практически невозможно привлекать трафик на свой ресурс — поисковые системы будут помечать сайт как небезопасный и понижать его в выдаче, браузеры станут запрашивать согласие пользователя на установку соединения, да и люди уже привыкли к тому, что их подключение зашифровано. При выборе SSL-сертификата владелец сайта должен учитывать, что не все они одинаковы. Некоторые работают только с одним доменом, другие — с несколькими. В ситуации когда требуется обеспечить защиту большого количества поддоменов — сертификат wildcard это идеальное решение, именно для этого он и создан.
Подстановочный wildcard ssl сертификат: что это такое и зачем он нужен
Подстановочный или wildcard SSL сертификат отличается от своих аналогов тем, что его можно использовать не только для защиты основного доменного имени, также он работает с неограниченным числом субдоменов. Подстановочным он называется из-за использования в своей структуре универсального символа заменителя(как правило это звездочка), который вписывается вместо указания конкретных поддоменов. Скажем wildcard вида *. primer.ru, охватит и любые его поддомены третьего уровня, такие как:
На рисунке ниже подробно описаны уровни доменных имен, начиная с домена верхнего уровня(TLD) и вплоть до поддоменов 4-го уровня. Обратите внимание, что количество уровней субдоменов не ограничивается цифрой 4 и определяется потребностями их владельца. 
Один wildcard SSL сертификат охватывает только один уровень поддоменов. Это означает, что wildcard сертификат выпущенный для primer.ru будет действительным для всех его субдоменов третьего уровня, но не будет работать для четвертого уровня вложенности. Соответственно если необходима защита поддоменов четвертого и далее уровней нужно получить отдельный wildcard сертификат для родительского домена каждого из них. То есть для того, чтобы wildcard ssl работал на субдомене work.mail. primer.ru, нужно получить его для *.mail. primer.ru.
Кому наиболее выгодно использовать wildcard сертификаты
Wildcard SSL имеет смысл использовать для сайта с большим количеством поддоменов, этот вид сертификата позволит защитить их все сразу.
Некоторые распространенные сценарии, когда использование подстановочного SSL сертификата является наиболее выгодным, включают в себя:
Основные принципы того как работает сертификат wildcard и особенности его интеграции
Подстановочные SSL сертификаты обеспечивают зашифрованное соединение между пользователем(его веб-браузером или другим программным обеспечением) и веб-сервером. При этом данные шифруются с помощью набора ключей — один из которых хранится в самом сертификате, а другой на сервере. Разница между обычным и wildcard сертификатом заключается в том, что первый может работать только на одном сервере, в то время как второй может быть скопирован и загружен на столько серверов, сколько необходимо для размещения основного домена и всех его поддоменов.
После того как wildcard сертификат будет установлен весь веб-трафик между браузером посетителя и любым из защищенных им серверов будет зашифрован. Это означает, что если хакер перехватит сообщение между браузером посетителя и сервером сайта, все, что он увидит — это некий набор бессмысленных данных, бесполезный без закрытого ключа шифрования.
Как настроить подстановочный SSL-сертификат
Для установки wildcard сертификата на сайт нужно последовательно выполнить несколько простых шагов:
Получите запрос подписи подстановочного сертификата(CSR). Это простая процедура, в большинстве хостинговых компаний и у регистраторов доменных имен ее можно пройти в автоматическом режиме, при котором все действия по генерации CSR они возьмут на себя. От пользователя потребуется только указать ряд данных о домене и компании или физическом лице владеющим им.
Оплатите сертификат. На рынке существует множество поставщиков которые предлагают ssl сертификаты wildcard (WC) на выбор. Наилучшее решение зависит от конкретных потребностей покупателя и его бюджета. Для обеспечения большей защищенности основного домена и его поддоменов можно выбрать сервис с поддержкой функции создания уникальных закрытых ключей для каждой копии подстановочного SSL-сертификата загружаемого на сервер. Это несколько затруднит управление сертификатом, но сделает защищенные им сайты менее уязвимыми для хакеров и других угроз безопасности.
После того как поставщик SSL сертификата сгенерирует CSR, будет произведена оплата и пройдена проверка подтверждения домена можно загружать полученные от центра сертификации файлы на свой сервер.
Типы подстановочных SSL сертификатов
Wildcard сертификаты бывают двух типов:
Валидация домена — самый простой вариант, для его получения требуется только подтверждение владения доменом, получение занимает не больше 5 минут.
Бизнес-валидация —подходит для малых, средних и крупных организаций или компаний, проверка и обработка данных при ней может занять несколько дней. Этот тип сертификата выдается только легально зарегистрированным компаниям, поскольку название компании и адрес будут отображаться когда пользователи нажмут на SSL-сертификат, чтобы найти дополнительную информацию о том кому он был выдан.
К сожалению wildcard сертификаты не выпускаются в самой защищенной версии — EV (Extended Validation), поскольку она требует углубленного процесса проверки домена и запрашивающей организации, прежде чем какой-либо авторитетный CAS выдаст их. При необходимости добавления EV SSL для поддоменов нужно приобретать платный сертификат для каждого из них в отдельности.
Чем подстановочный сертификат отличается от других видов защиты
В общем виде, все SSL сертификаты делятся на три типа с точки зрения области защиты. Самые простые работают только с одним доменом и не защищают поддомены, также есть мультидоменные сертификаты которые распространяют свое действие на три-четыре домена или субдомена. В отличие от указанных сертификатов, wildcard SSL может использоваться для защиты основного домена и любого количества его поддоменов.
Плюсы wildcard сертификатов SSL
Владельцам сайтов с множеством поддоменов wildcard сертификаты обеспечивают ряд преимуществ в сравнении с аналогами:
Вывод
Установка wildcard SSL сертификата, это один из самых важных шагов в оптимизации и защите сайта. Если этот этап пропустить — возникнут трудности с ранжированием в поисковых системах и значительная часть пользователей откажется от посещения ресурса из-за статуса небезопасного. Различные виды сертификатов позволяют избежать этих трудностей. Выбор конкретного типа сертификата зависит от специфики сайта, для проектов которые используют поддомены — лучшее решение, это wildcard SSL. Установка такого сертификата позволяет экономить время, деньги и усилия, защищая неограниченное количество субдоменов. Процесс получения сертификата занимает от нескольких минут до 3 дней в зависимости от его типа, интеграция wildcard SSL на сайт происходит в три несложных шага.
Let’s Encrypt начал выдавать wildcard сертификаты
Let’s Encrypt перешагнул важную веху — с 14 марта каждый может получить бесплатный SSL/TLS сертификат вида *.example.com. Пример установленного сертификата:
Вчера Let’s Encrypt официально объявил о запуске ACMEv2 (Automated Certificate Management Environment), который наконец позволяет получить wildcard сертификат. Изначально планировалось начать их выдачу в январе, однако запуск перенесли из-за обнаруженных проблем.
Получение wildcard сертификата сейчас возможно только через DNS challenge, где необходимо временно создать TXT запись вида _acme-challenge.example.com с определенным значением.
Официальный клиент Certbot и некоторые другие клиенты для автоматического обновления сертификатов уже поддерживают staging ACMEv2, версии для production на подходе. И чтобы автоматически пройти DNS challenge уже есть несколько специальных Certbot плагинов. Разумеется, скоро их будет еще больше, в том числе и для сторонних клиентов.
В качестве простейшего примера я вручную получил сертификат на домен, которым владею — baur.im, через браузерный клиент https://www.sslforfree.com. Если я хочу использовать один и тот же сертификат как для суб-доменов, так и для самого домена, то это надо указать явно: baur.im *.baur.im (картинки кликабельны):
Пройдя дальше, предлагается пройти два DNS challenge.
Добавляем обе запрашиваемые TXT записи на суб-домен _acme-challenge.baur.im
И можно скачивать сертификат, который будет действовать 3 месяца.
Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
Сегодня существует агромное кол-во разных SSL-сертификатов, но может ли один сертификат обеспечить практически все Ваши нужды? Оказывается, да! И это большая редкость, лишь единицы знают о сущещствование такого продукта как Мульти-доменный сертификат с поддержкой неограниченного кол-во субдоменов (Multi-Domain Wildcard SSL Certificate). Но давайте обо всём по порядку.
Обычно люди пользуются такими сертификатами как:
SSL-сертификат с проверкой домена (Domain Validation)
SSL-сертификаты с проверкой домена, или как их некоторые называют, сертификаты начального уровня, являются самыми распространёнными в мире, и это не удивительно, ведь скорость выдачи таких сертификатов варьируется от 2-10 минут, зависит от бренда. Что бы получить такой сертификат не требуются какие либо документы, весь процесс предельно прост, Вам нужно подтвердить владение доменом, а для этого существует 3 способа, один основной и два альтернативных.
SSL-сертификаты начального уровня с проверкой домена один из самых быстро-выдаваемых типов сертификатов, т.к. не требуют каких либо документов. Мы рекомендуем данные сертификаты для небольших сайтов и маленьких проектов, когда у Вас нет необходимости в большом доверии со стороны клиентов и посетителей сайта, проекта. С таким сертификатом чаще идут статичные логотипы безопасности, однако есть некоторые которые предлагают и динамические, например: Thawte SSL 123, Comodo SSL Certificate
Проверка через э-почту (DCV Email)
Данный метод описан на многих сайтах и блогах, вся суть в том, что центр сертификации вышлет Вам верификационное письмо, в котором будет ссылка для подтверждения владением домена. Выслать такое письмо могут либо на э-почту указанную во Whois вашего домена, либо на один из золотой пятёрки: admin@, administrator@, hostmaster@, postmaster@,webmaster@
Проверка при помощи DNS записи (DNS CNAME)
Достаточно популярный метод, для тех у кого может не быть настроен майл-сервер, а э-почта во Whois закрыты приватной регистрацией. Суть проста, вы должны сделать особую запись в Вашем DNS, и центр сертификации его проверит. Метод полностью автоматический.
Проверка при помощи хеш-файла (HTTP CSR Hash)
SSL-сертификаты с проверкой компании (Business Validation)
Данные сертификаты актуальны для тех, кто думает о доверии к своим продуктам, компании и сервисам, так как центр сертификации проводит более тщательную проверку Вашей компании. Вас попросят выслать документы компании, пройти процесс «отзвона» на корпоративный телефон и некоторые другие процессы. Однако результат использования на порядок выше, чем в случае с начальными сертификатами, т.к. на Вашем сайте будет динамическое Лого с информацией о Вашей компании. Люди это ценят и легче расстаются с деньгами оплачиваю услуги и товары на вашем сайте.
С расширенной проверкой (Extended validation)
Престиж и доверие — вот основа сертификатов с расширенной проверкой. Только EV сертификаты обеспечат Ваш сайт зелёной адресной строкой в браузере, а это пожалуй самый простой способ доказать Вашим посетителям, что вы думаете об их безопасности, шифруете данные, а самое главное, Вам можно доверять. Чаще всего такие сертификаты можно встретить у банков, онлайн систем с большим кол-во посетителей, практически во всех Интернет магазинах и других сайтов через которые проходят потоки важной информации. Получить такой сертификат не просто, процесс трудоёмкий, но результат не заставит себя ждать.
SSL c поддержкой субдоменов (Wildcard)
Очень удобный сертификат, когда речь идёт о защите большого кол-во субдоменов в рамках одного домена. Он может защитить любое кол-во субдоменов, на неограниченном кол-ве серверов. Больше не нужно устанавливать 5-10-20 разных сертификатов, иметь столько же IP адресов (если не использовать технологию SNI), всё в рамках одного продукта. Часто их так же используют для обеспечения безопасности хостинг панелей, таких как Plesk, cPanel.
SAN SSL-сертификаты
Единые сертификаты связи (UCC), Мульт-доменные сертификаты, SAN SSL-сертификаты, как их только не называют, но всех их объединяет одно свойство, способность защищать множество доменов, субдоменов, локальных доменов (.local), сервера (server name: ‘myserver01’), они идеальны для продуктов Microsoft Exchange. Данные сертификаты работают как с внешними, так и внутренними доменными именами.
SGC SSL-сертификаты
Сегодня, о данных сертификатах уже можно забыть, хотя их продолжают использовать, т.к. они принудительно увеличивают уровень шифрования для старых браузеров с 40-бит до полноценных 256-бит. Ваш сайт или онлайн система будет защищена и получит высочайшее доверие от всех Ваших пользователей. Лучшие сайты используют 128/256-битное шифрование.
SSL-cертификаты для ПО (CodeSigning SSL)
Этот сертификат Вам понадобится, когда ваши пользователи получают предупреждения и ошибки при скачивании программного кода с ваших ресурсов.Идеальный продукт для разработчиков программного обеспечения (ПО), он используется для защиты программных продуктов распространяемых в сети. Ваши пользователи будут уверены что код скачанный на вашем сайте действительно принадлежит Вам, а не является умышленно испорченным или изменённым
Мульти-доменный сертификат с поддержкой неограниченного кол-во субдоменов
И вот, медленно, мы подошли к чудо сертификату, которому под силу почти всё. Это смесь сертификата с поддержкой субдоменов и мультидоменного сертификата, так как он способен защищать неограниченное кол-во субдоменов на более чем 100 доменах, совместим с MS Exchange, работает на всех типах платформ и при этом выданный сертификат может одновременно работать как на Linux, так и Windows серверах. Вот что не может данный сертификат, так это обеспечить ресурсы зелёной адресной строкой.
Продукт не из дешёвых, он больше подходит для тех, у кого много своих сайтов или множество сертификатов с поддержкой субдоменов (Wildcard)
