Sectigo positive ssl что это
Что такое SSL-сертификат и чем он опасен
Про SSL-сертификаты уже написано немало статей, однако интерес к ним не спадает, тем более что количество людей, решивших открыть свой веб-ресурс в сети, постоянно возрастает. Эта статья создана специально для тех, кто хочет узнать, что такое SSL-сертификат, зачем использовать его на своем сайте, какие варианты сертификатов существуют и о чем обязательно стоит помнить при установке SSL.
Что такое SSL-сертификат?
SSL-сертификат – это специальный сертификат безопасности, который устанавливается на сайт для того, чтобы данные можно было передавать по протоколу SSL. SSL расшифровывается как Secure Sockets Layer (т.е. Уровень Защищенных Сокетов). Этот протокол обеспечивает безопасную передачу данных между сервером, на котором находится ресурс, и браузером пользователя.
Наличие SSL-сертификата на сайте легко проверить, просто посмотрев на строку с адресом сайта в браузере. В зависимости от выбранного владельцем сертификата, в адресной строке вы увидите значок закрытого замка, при нажатии на который появится фраза «Безопасное соединение». Рядом с замочком также может быть указано название компании-собственника.
Если же на сайте SSL-сертификат не установлен, то перед адресом будет написано «Не защищено».
Разница между HTTP и HTTPS
HTTP – это протокол прикладного уровня, который используется для передачи данных в сети. Этот протокол дает возможность передавать запросы от клиента к серверу и получать от сервера ответы на эти запросы.
Что касается HTTPS, то это не другой отдельный протокол, а расширение протокола HTTP. Это можно понять уже по расшифровке аббревиатур:
Если по HTTP данные передаются в незащищенном виде, то HTTPS обеспечивает их криптографической защитой, то есть уберегает данные от несанкционированного доступа.
Почему важно, чтобы на ресурсе использовался HTTPS? Потому что никто не хочет, чтобы данные авторизации (если речь о социальных сетях) или платежные данные (если речь об интернет-магазинах) оказалась в руках злоумышленников.
Для чего сайту нужен SSL-сертификат?
Как уже было сказано выше, очень важно, чтобы данные, которые передаются между пользовательским компьютером и сервером, не попали в третьи руки. В первую очередь речь идет о данных, связанных с финансовыми операциями: денежных транзакциях, банковских картах и так далее.
Так что ответ на вопрос «Для чего нужен SSL-сертификат для сайта» – для того, чтобы обеспечить безопасное соединение между браузером клиента и сервером.
Следующий вопрос, который может у вас возникнуть, – а так ли необходимо устанавливать SSL-сертификат на свой сайт? Ответ один – да, это необходимый элемент любого сайта.
Раньше SSL-сертификаты чаще всего использовались на сайтах, связанных с электронной коммерцией (например, в интернет-магазинах), и других ресурсах, на которых хранились конфиденциальные данные пользователей. Но сейчас наступило время, когда сетевой безопасности уделяется особое внимание, поэтому любой сайт, не имеющий SSL-сертификата, воспринимается как потенциально опасный для пользователей.
Разновидности SSL-сертификатов
SSL-сертификаты базово можно разделить по двум критериям – по компаниям, которые их выпускают, и по типу самих сертификатов.
Начнем с первого критерия. Существует несколько компаний, которые выпускают сертификаты. Мы остановимся на одних из самых известных – Sectigo и Let’s Encrypt.
Let’s Encrypt завоевал популярность за счет своего бесплатного распространения. А Sectigo выпускает несколько видов платных SSL-сертификатов. На примере сертификатов от Sectigo мы рассмотрим, какие виды SSL-сертификатов существуют:
Можно ли взломать сайт с SSL-сертификатом?
SSL-сертификаты направлены на безопасную передачу данных, но они никак не влияют на защиту самого сайта от взлома. Т.е. информация, которая поступает от пользователя на сайт и обратно, будет защищена, но над защищенностью самого сайта нужно работать отдельно. О защите сайта можно прочитать в статье « Как защитить сайт от взлома ».
Чем опасны сертификаты?
Пользователи, которые только начинают разбираться в SSL, наверняка захотят узнать, может ли установка сертификата как-то негативно отразиться на самом сайте.
Обычно нет. SSL-сертификат – это всегда большой плюс, можно даже сказать, необходимость. Однако есть один нюанс, с которым вы можете столкнуться после его установки – проблема смешанного содержимого («mixed content»).
Такая ситуация возникает в тех случаях, когда страница передается по протоколу HTTPS, но часть содержимого отправляется все еще по HTTP (например, изображения). В этом случае соединение будет считаться не полностью, а лишь частично зашифрованным, ведь все, что передается по HTTP, можно перехватить.
Если вы столкнулись с такой проблемой и не обладаете какими-либо знаниями в редактировании кода, то наилучшим решением будет обратиться к специалисту. Он проанализирует сайт и поможет вам. Часто проблема заключается в том, что на ресурсе остались ссылки, ведущие на небезопасный протокол («http://») – тогда необходимо либо изменить эти ссылки на относительные, либо на «https://».
Где можно получить SSL-сертификат?
100% безопасность ваших сайтов обеспечит SSL-сертификат
Что такое SSL-сертификат?
SSL-сертификат — уникальная цифровая подпись сайта, которая обеспечивает обмен данными между сайтом и компьютерами посетителей по защищенному протоколу HTTPS (HyperText Transfer Protocol Secure). Сам SSL-сертификат интернет-магазина или любого другого коммерческого сайта гарантирует безопасность финансовых операций и передачи конфиденциальной информации. По этой причине он является существенным фактором ранжирования сайта в поисковых системах и обеспечивает рост числа ваших клиентов.
Компания Макхост предлагает вам приобрести SSL-сертификаты от крупнейшего поставщика Sectigo по очень приятным ценам.
| Сертификат | Стоимость в год |
|---|---|
| Sectigo Positive SSL (site-name.ru и www.site-name.ru или имя-сайта.рф) | 990 a |
| Sectigo PositiveSSL SSL Wildcard (для всех поддоменов *.site-name.ru) | 8 490 a |
| Sectigo PositiveSSL EV SSL (site-name.ru и www.site-name.ru с расширенной валидацией) | 10 990 a |
Как выбрать сертификат?
Positive SSL — подходит абсолютно для всех сайтов без разграничения целей, тематик и заложенных в процессе создания возможностей. Сертификат предназначен как для физических, так и для юридических лиц.
SSL Wildcard отличается от Sectigo Positive SSL тем, что защищает неограниченное число поддоменов вашего основного домена. Сертификат подходит как для физических, так и для юридических лиц.
EV SSL — сертификат для серьезных компаний. Вызывает доверие абсолютно у всех посетителей сайта. Выделяет адрес сайта в браузерах зеленым. Получить сертификат могут только юридические лица. Для получения такого сертификата необходимо предоставить документы организации с подписью и печатью.
Пример адресной строки для PositiveSSL EV SSL:
Если вы уже — наш клиент, то сертификат вы легко закажете в панели управления. Если вы хотите приобрести сертификат без заказа услуг хостинга, то вам необходимо зарегистрироваться.
Ознакомиться с инструкцией установки SSL-сертификата непосредственно для вашего сайта можно в соответствующем разделе QA.
Проблема с сертификатами Sectigo после 30 мая 2020 года и метод решения
В субботу 30 мая 2020 года возникла не сразу понятная проблема с популярными SSL/TLS сертификатами от вендора Sectigo (бывший Comodo). Сами сертификаты продолжали оставаться в полном порядке, однако «протух» один из промежуточных CA-сертификатов в цепочках, с которыми поставлялись данные сертификаты. Ситуация не сказать, чтобы фатальная, но неприятная: актуальные версии браузеров ничего не заметили, однако большая часть автоматизаций и старых браузеров/ОС оказались не готовыми к такому повороту.
Хабр не стал исключением, поэтому и написан этот ликбез / postmortem.
TL;DR Решение в самом конце.
Опустим базовую теорию про PKI, SSL/TLS, https и прочее. Механика удостоверения сертификатом безопасности домена состоит в построении цепочки из ряда сертификатов до одного из доверенных браузером или операционной системой, которые хранятся в так называемом Trust Store. Этот список распространяется с операционной системой, экосистемой среды исполнения кода или с браузером. Любые сертификаты имеют срок действия, по истечении которого они считаются недоверенными, в том числе сертификаты в trust store. Как выглядела цепочка доверия до наступления рокового дня? Разобраться нам поможет web-утилита SSL Report от компании Qualys.
Итак, одним из самых популярных «коммерческих» сертификатов является Sectigo Positive SSL (ранее разывался Comodo Positive SSL, сертификаты с этим наименованием ещё в ходу), он является так называемым DV-сертификатом. DV — это самый примитивный уровень сертификации, означающий проверку доступа к управлению доменом у выпускающего такой сертификат. Собственно, DV и расшифровывается как «domain validation». Для справки: ещё есть OV (organization validation) и EV (extended validation), а бесплатный сертификат от Let’s Encrypt тоже DV. Для тех, кому по какой-либо причине не устраивает механизм ACME, продукт Positive SSL является самым подходящим по соотношению цена/возможности (однодоменный сертификат стоит около 5-7 долларов за год с суммарным сроком действия сертификата до 2 лет и 3 месяцев).
Типовой сертификат Sectigo DV (RSA) до недавнего времени поставлялся с такой цепочкой промежуточных CA:
Здесь отсутствует «третий сертификат», самоподписной от AddTrust AB, так как в какой-то момент времени стало считаться правилом плохого тона включать в цепочки самоподипсанные корневые сертификаты. Можно обратить внимание, что промежуточный CA, выданный UserTrust от AddTrust имеет срок действия 30 мая 2020 года. Это не спроста, так как для данного CA была запланирована процедура вывода из эксплуатации. Считалось, что к 30 мая 2020 года во всех trust store уже к этому времени появится кросс-подписанный сертификат от UserTrust (под капотом это один и тот же сертификат, вернее публичный ключ) и цепочка, даже с включенным недоверенным уже сертификатом будет иметь альтернативные пути построения и никто этого не заметит. Однако, планы разбились о реальность, а именно пространный термин «legacy systems». Действительно, владельцы актуальных версий браузеров ничего не заметили, однако сломалась гора автоматизаций, построенных на curl и ssl/tls-библиотеках ряда языков программирования и сред исполнения кода. Надо понимать, что многие продукты не руководствуются встроенными в ОС средствами построения цепочек, а «носят» свой trust store с собой. И не всегда они содержат то, что хотело бы видеть CA/Browser Forum. Да и в Linux далеко не всегда обновляются пакеты типа ca-certificates. В итоге всё вроде в порядке, но что-то не работает то там, то здесь.
По рисунку 1 понятно, что хоть и у подавляющего большинства всё выглядело как обычно, у кого-то что-то сломалось и трафик заметно просел (левая красная черта), потом он подрос, когда заменили один из ключевых сертификатов (правая черта). Были всплески и посередине, когда меняли иные сертификаты, от которых тоже что-то зависело. Так как у большинства визуально всё продолжало работать более-менее штатно (за исключением странных глюков типа невозможности загрузки картинок на Habrastorage), можно сделать косвенный вывод о количестве legacy-клиентов и ботов на Хабре.
Рисунок 1. График «трафика» на Хабре.
По рисунку 2 можно оценить, как строится в актуальных версиях браузеров «альтернативная» цепочка до доверенного CA-сертификата в браузере пользователя, даже при наличии «протухшего» сертификата в цепочке. Это, как считала сама Sectigo, тот самый повод не делать ничего.
Рисунок 2. Цепочка до доверенного сертификата современной версии браузера.
А вот на рисунке 3 можно заметить, как всё выглядит на самом деле, когда что-то пошло не так и у нас legacy система. В таком случае соединение HTTPS не устанавливается и мы видим ошибку типа «certificate validation failed» или подобную ей.
Рисунок 3. Цепочка инвалидировалась, так как корневой сертификат и подписанный им промежуточный «протухли».
На рисунке 4 мы уже видим «решение» для legacy систем: есть ещё один промежуточный сертификат, вернее «кросс-подпись» от иного CA, который как правило предустановлен в legacy системах. Это то, что нужно сделать: найти этот сертификат (который помечен как Extra download) и заменить им «протухший».
Рисунок 4. Альтернативная цепочка для legacy систем.
К слову: у проблемы не было широкой огласки и какого-то общественного обсуждения, в том числе из-за излишней самонадеянности Sectigo. Вот, например, мнение одного из поставщиков сертификатов в отношении к данной ситуации:
Previously they [Sectigo] assured everyone that no issues will be. However, the reality is that some legacy servers/devices are affected.
That is a ridiculous situation. We pointed their attention to the expiring AddTrust RSA/ECC multiple times within a year and each time Sectigo assured us no issues will be.
Я лично задавал вопрос на Stack Overflow на этот счёт месяц назад, но судя по всему, аудитория проекта не очень подходящая для таких вопросов, так что пришлось не него ответить самостоятельно по факту разбора.
Sectigo выпустил на этот счёт FAQ, но он настолько нечитабельный и пространный, что пользоваться им невозможно. Вот цитата, являющаяся квинтэссенцией всей публикации:
What You Need to Do
For most use cases, including certificates serving modern client or server systems, no action is required, whether or not you have issued certificates cross-chained to the AddTrust root.
As of April 30, 2020: For business processes that depend on very old systems, Sectigo has made available (by default in the certificate bundles) a new legacy root for cross-signing, the “AAA Certificate Services” root. However, please use extreme caution about any process that depends on very old legacy systems. Systems that have not received the updates necessary to support newer roots such as Sectigo’s COMODO root will inevitably be missing other essential security updates and should be considered insecure. If you would still like to cross-sign to the AAA Certificate Services root, please contact Sectigo directly.
Очень нравится тезис «very old», конечно. Например, curl в консоли Ubuntu Linux 18.04 LTS (нашей базовой ОС на данный момент) с последними обновлениями не старше месяца, сложно назвать very old, однако оно не работает.
Большинство дистрибьютеров сертификатов выпустили свои заметки с решениями ближе к вечеру 30 мая. Например, очень годная в техническом плане от NameCheap (с конкретным описанием что делать и с готовыми сборками CA-bundles в zip-архивах, но только RSA):
Рисунок 5. Семь шагов, чтобы быстро всё починить.
Есть неплохая статья от Redhat, но там всё более Legacy и нужно инсталлировать даже ещё более корневой legacy сертификат от Comodo, чтобы всё работало.
Решение со стороны сервера
Стоит продублировать решение ещё и тут. Ниже располагаются два набора цепочек для сертификатов DV Sectigo (не Comodo!), одна для привычных RSA сертификатов, другая для менее привычных ECC (ECDSA) сертификатов (мы используем две цепочки достаточно давно). С ECC было сложнее, так как большинство решений не учитывает наличие таких сертификатов в силу их малой распространённости. В итоге, нужный промежуточный сертификат был найден на crt.sh.
Цепочка для сертификатов, основанных на алгоритме ключа RSA. Сравните со своей цепочкой и обратите внимание, что заменился только нижний сертификат, а верхний остался прежним. Я их отличаю в бытовых условиях по последним трём символам блоков base64 не считая символа «равно» (в данном случае En8= и 1+V ):
Цепочка для сертификатов, основанных на алгоритме ключа ECC. Аналогично с цепочкой для RSA, заменился только нижний сертификат, а верхний остался прежним (в данном случае fmA== и v/c= ):
Решение со стороны клиента
Внимание! Тут далее по тексту размещаются сертификаты безопасности и предложения их импортировать в систему. Это референс! Не надо бездумно импортировать их в trust store и делать доверенными. Мы в Интернете и тут нельзя никому доверять (даже Хабру, sad but true)! Если просто импортировать промежуточные сертификаты, как правило, достаточно безопасно (не делая их вручную «доверенными», они наследуют доверие сами и без вас), то импортировать самоподписные руты надо строго включая мозг и сверяя отпечатки сертификатов с эталонными значениями, указанными на сайтах вендоров сертификатов. Praemonitus, praemunitus.
Как правило, если владелец сервера с проблемным сертификатом уже заменил цепочку, то на стороне клиента делать ничего не нужно, так как недостающий промежуточный сертификат имеет кросс-подпись от достаточно старого CA, который с большей долей вероятности уже был заботливо предустановлен в trust store даже сильно legacy-системы при царе Горохе. И всё должно работать.
Но бывают случаи, что владелец сервера либо не в курсе проблемы, либо не обладает должной компетенцией для её решения, либо решать проблему банально некому, ибо сервер на лютом аутсорсе, и всем в принципе наплевать (что-то на уровне проблемы индейцев и шерифа). А попасть на такой сервер надо из-под системы не первой свежести. Как показали комментарии, к сожалению, такие случаи определённо носят достаточно массовый характер.
Есть известная проблема реализации построения цепочек PKI в ряде старых крипто-библиотек (некотоорые версии OpenSSL и GnuTLS, например), которые банально не умеют строить множество цепочек от нескольких доверенных якорей к конечному сертификату. То есть, они воспринимают цепочку доверия как линейную сущность, а не направленный граф. Первой помощью в таких системах будет удаление из trust store или отключение почившего корневого сертификата AddTrust External CA Root. Выглядит он так:
Конечно, хорошим подспорьем будет обновить OpenSSL, например, в случае проблем именно с этой библиотекой. Но зачастую это практически невозможно, ибо мало заменить библиотеку с удовлетворением зависимостей, надо ещё и пересобрать софт, использующий эту библиотеку. Для большинства это непреодолимый квест и практически гарантированная возможность доломать систему до конца. В случае GnuTLS также гарантировано отдельное развлечение, местами даже пободрее, чем с OpenSSL. Весьма подробная заметка на OpenNET.
Далее, сделует проверить, что тот самый престарелый, но действительный сертификат AAA Certificate Services от Comodo, выпустивший в качестве подорожника кросс-подпись, наличествует в trust store ОС или браузера клиента. Идентифицировать его можно по следующим атрибутам:
Если такой сертификат отсутствует, то надо его импортировать в trust store и сделать доверенным. Без него не будет вообще работать ничего, даже если владелец сервера выполнит рекомендации. Но повторюсь: он должен быть в поодавляющем числе trust store систем и браузеров.
Далее, вторым шагом может стать импорт пачки промежуточных сертификатов, покрывающих большую часть случаев битой цепочки со стороны клиента. На самом деле, упомянутый выше «дедушка» сертификатов наплодил немало дочерних CA, с полным списком можно ознакомится внизу этой страницы. Но нам все не нужны, нам нужно только четыре. Два для продуктов под брендом Comodo и два для продуктов под брендом Sectigo, в каждой паре один для сертификатов, основанных на ключе RSA, а второй для ECDSA.
USERTrust RSA Certification Authority (под ним «ходят» разные промежуточные сертификаты RSA Sectigo):
USERTrust ECC Certification Authority (под ним «ходят» разные промежуточные сертификаты ECDSA Sectigo):
COMODO RSA Certification Authority (под ним «ходят» разные промежуточные сертификаты RSA Comodo, ещё не выведенные из эксплуатации):
COMODO ECC Certification Authority (под ним «ходят» разные промежуточные сертификаты ECDSA Comodo, ещё не выведенные из эксплуатации):
По идее, после таких манипуляций всё должно заработать. Разные операционные системы имеют разные механизмы шатания их trust store, в каждом конкретном случае надо обращаться к документации, как это делается. Надо отдать должное, этот случай достаточно сильно переполошил веб и большинство мэйнтейнеров ОС и иных систем выпустили свои FAQ, которые легко ищутся по ключевым словам fix sectigo certificate issue in << system_name >> или схожим в большинстве поисковиков.
Виды SSL-сертификатов и их особенности
Через Timeweb можно заказать сертификаты, выпускаемые центром сертификации Sectigo, а также бесплатные сертификаты, выпускаемые некоммерческим центром сертификации Let’s Encrypt.
Все представленные сертификаты, кроме EV SSL, являются сертификатами с проверкой домена (DV), которые подтверждают подлинность доменного имени. Они не содержат информации о компании и могут быть оформлены на физическое лицо.
Sectigo
Sectigo Positive Wildcard SSL — этот вид сертификата будет работать на домене и всех поддоменах одного домена. Имеет упрощенную процедуру проверки при выпуске. Срок выпуска сертификата составляет несколько часов.
Особенности данных сертификатов:
Особенности использования сертификата Sectigo Positive Wildcard SSL
Сертификаты SSL Wildcard, работающие на домене и всех его поддоменах, в рамках нашей системы устанавливаются на конкретную директорию. Соответственно, для корректной работы сайта при использовании такого типа сертификата необходимо выполнение следующих условий:
все поддомены должны быть привязаны к директории, на которую установлен сертификат;
файлы сайтов, размещенных на поддоменах, должны быть загружены в подпапки в основной директории сайта;
Let’s Encrypt
Let’s Encrypt предоставляется только на тарифных планах виртуального хостинга (Year+, Optimo+, Century+, Millennium+, 1Сайт, Eterno, Premium).
Необходимые условия для установки Let’s Encrypt
Для успешной установки Let’s Encrypt должны быть соблюдены несколько условий:
Также ошибка установки сертификата может возникнуть, если недоступен так называемый «проверочный путь». При выпуске сертификата создается проверочный файл, который размещается по пути:
Однако настройки отдельных web-приложений могут запрещать размещение файлов по такому пути. В этом случае в панели управления в статусе сертификата будет выведено сообщение «Ошибка». Для устранения проблемы необходимо обратиться в службу поддержки.
SSL Wildcard
SSL Wildcard — сертификат, который выпускается бессрочно и работает на домене и всех его поддоменах.
Сертификат оплачивается единоразово в момент заказа, после чего бесплатно продлевается автоматически.
SSL Wildcard предоставляется на тарифных планах виртуального хостинга и для выделенных серверов с нашим администрированием.
Sectigo PositiveSSL
Описание SSL сертификата
Sectigo (ранее Comodo CA) PositiveSSL является одним из самых популярных сертификатов для проверки доменов в мире. Это 2048-битный продукт промышленного стандарта с поддержкой алгоритмов хеширования SHA и ECC по очень низкой цене. PositiveSSL поставляется с замком в адресной строке, которая помогает клиентам понять, что их данные зашифрованы и хранятся в секрете с помощью доверенного сертификата SSL. Нет другого такого хорошего SSL для небольших сайтов, стартапов и других средств защиты окружающей среды.
Никаких документов, автоматическая проверка позволяет выдавать SSL в течение 3-5 минут после успешного прохождения проверки владения доменом. Средняя установка занимает всего несколько минут, чтобы установить его на любом веб-сервере. Экономически эффективное решение для создания доверия онлайн. Он защищает домены как с так и без WWW. Неограниченное лицензирование сервера дает возможность установить SSL на столько серверов, сколько вам нужно.
Sectigo CA покрывает до 99,6% всех браузеров и мобильных устройств, доступных на рынке. Многие другие бренды CA берут гораздо больше за продукт, который не имеет таких функций. Каждый SSL в магазине GoGetSSL имеет 30-дневную гарантию возврата денег по любой возможной причине. Получите двойную техническую поддержку и отличное обслуживание клиентов от команды Sectigo CA и GoGetSSL. Проверьте другие доступные SSL-сертификаты Sectigo.
Покажите защиту сайту
Проверка домена
Физическое лицо, организация или государственное учреждение, это не имеет значения, так как любой может получить сертификат DV SSL, и никаких документов не требуется. Пройдите проверку владения доменом с помощью одного из доступных методов проверки, таких как электронная почта, DNS CNAME или HTTP-хэш-файл. SSL приходит быстро после успешного прохождения проверки.
Повысьте рейтинг в Google
Незначительные изменения в алгоритме ранжирования Google помогают веб-сайтам с активными и действительными сертификатами SSL занимать более высокие позиции в поиске Google. Это изменение применяется ко всем типам SSL-сертификатов, таких как проверка домена, бизнеса или расширенная проверка. Проверенные компании / организации могут получить еще более высокие результаты.
Совместимые устройства
Каждый центр сертификации (бренд) имеет собственную совместимость с браузерами, мобильными устройствами и серверными платформами. Sectigo PositiveSSL поддерживает 99,6% всех устройств. Установка промежуточного сертификата CA дает максимальные результаты совместимости. Найдите минутку, чтобы посмотреть все поддерживаемые устройства.
PositiveSSL в сравнении с другими SSL
Все больше и больше людей смущаются, когда им нужно выбрать лучший SSL для своих нужд, так много брендов и различных продуктов. Вот почему наша команда предлагает использовать профессиональный инструмент сравнения SSL для быстрого поиска нужного элемента. Цена является важным фактором, но не основным; пожалуйста, проверьте такие функции, как сумма гарантии, возможность неограниченного переиздания и неограниченное лицензирование сервера.