Wildcard ssl сертификат что это
Как защитить абсолютно всё при помощи одного лишь SSL-сертификата
Сегодня существует агромное кол-во разных SSL-сертификатов, но может ли один сертификат обеспечить практически все Ваши нужды? Оказывается, да! И это большая редкость, лишь единицы знают о сущещствование такого продукта как Мульти-доменный сертификат с поддержкой неограниченного кол-во субдоменов (Multi-Domain Wildcard SSL Certificate). Но давайте обо всём по порядку.
Обычно люди пользуются такими сертификатами как:
SSL-сертификат с проверкой домена (Domain Validation)
SSL-сертификаты с проверкой домена, или как их некоторые называют, сертификаты начального уровня, являются самыми распространёнными в мире, и это не удивительно, ведь скорость выдачи таких сертификатов варьируется от 2-10 минут, зависит от бренда. Что бы получить такой сертификат не требуются какие либо документы, весь процесс предельно прост, Вам нужно подтвердить владение доменом, а для этого существует 3 способа, один основной и два альтернативных.
SSL-сертификаты начального уровня с проверкой домена один из самых быстро-выдаваемых типов сертификатов, т.к. не требуют каких либо документов. Мы рекомендуем данные сертификаты для небольших сайтов и маленьких проектов, когда у Вас нет необходимости в большом доверии со стороны клиентов и посетителей сайта, проекта. С таким сертификатом чаще идут статичные логотипы безопасности, однако есть некоторые которые предлагают и динамические, например: Thawte SSL 123, Comodo SSL Certificate
Проверка через э-почту (DCV Email)
Данный метод описан на многих сайтах и блогах, вся суть в том, что центр сертификации вышлет Вам верификационное письмо, в котором будет ссылка для подтверждения владением домена. Выслать такое письмо могут либо на э-почту указанную во Whois вашего домена, либо на один из золотой пятёрки: admin@, administrator@, hostmaster@, postmaster@,webmaster@
Проверка при помощи DNS записи (DNS CNAME)
Достаточно популярный метод, для тех у кого может не быть настроен майл-сервер, а э-почта во Whois закрыты приватной регистрацией. Суть проста, вы должны сделать особую запись в Вашем DNS, и центр сертификации его проверит. Метод полностью автоматический.
Проверка при помощи хеш-файла (HTTP CSR Hash)
SSL-сертификаты с проверкой компании (Business Validation)
Данные сертификаты актуальны для тех, кто думает о доверии к своим продуктам, компании и сервисам, так как центр сертификации проводит более тщательную проверку Вашей компании. Вас попросят выслать документы компании, пройти процесс «отзвона» на корпоративный телефон и некоторые другие процессы. Однако результат использования на порядок выше, чем в случае с начальными сертификатами, т.к. на Вашем сайте будет динамическое Лого с информацией о Вашей компании. Люди это ценят и легче расстаются с деньгами оплачиваю услуги и товары на вашем сайте.
С расширенной проверкой (Extended validation)
Престиж и доверие — вот основа сертификатов с расширенной проверкой. Только EV сертификаты обеспечат Ваш сайт зелёной адресной строкой в браузере, а это пожалуй самый простой способ доказать Вашим посетителям, что вы думаете об их безопасности, шифруете данные, а самое главное, Вам можно доверять. Чаще всего такие сертификаты можно встретить у банков, онлайн систем с большим кол-во посетителей, практически во всех Интернет магазинах и других сайтов через которые проходят потоки важной информации. Получить такой сертификат не просто, процесс трудоёмкий, но результат не заставит себя ждать.
SSL c поддержкой субдоменов (Wildcard)
Очень удобный сертификат, когда речь идёт о защите большого кол-во субдоменов в рамках одного домена. Он может защитить любое кол-во субдоменов, на неограниченном кол-ве серверов. Больше не нужно устанавливать 5-10-20 разных сертификатов, иметь столько же IP адресов (если не использовать технологию SNI), всё в рамках одного продукта. Часто их так же используют для обеспечения безопасности хостинг панелей, таких как Plesk, cPanel.
SAN SSL-сертификаты
Единые сертификаты связи (UCC), Мульт-доменные сертификаты, SAN SSL-сертификаты, как их только не называют, но всех их объединяет одно свойство, способность защищать множество доменов, субдоменов, локальных доменов (.local), сервера (server name: ‘myserver01’), они идеальны для продуктов Microsoft Exchange. Данные сертификаты работают как с внешними, так и внутренними доменными именами.
SGC SSL-сертификаты
Сегодня, о данных сертификатах уже можно забыть, хотя их продолжают использовать, т.к. они принудительно увеличивают уровень шифрования для старых браузеров с 40-бит до полноценных 256-бит. Ваш сайт или онлайн система будет защищена и получит высочайшее доверие от всех Ваших пользователей. Лучшие сайты используют 128/256-битное шифрование.
SSL-cертификаты для ПО (CodeSigning SSL)
Этот сертификат Вам понадобится, когда ваши пользователи получают предупреждения и ошибки при скачивании программного кода с ваших ресурсов.Идеальный продукт для разработчиков программного обеспечения (ПО), он используется для защиты программных продуктов распространяемых в сети. Ваши пользователи будут уверены что код скачанный на вашем сайте действительно принадлежит Вам, а не является умышленно испорченным или изменённым
Мульти-доменный сертификат с поддержкой неограниченного кол-во субдоменов
И вот, медленно, мы подошли к чудо сертификату, которому под силу почти всё. Это смесь сертификата с поддержкой субдоменов и мультидоменного сертификата, так как он способен защищать неограниченное кол-во субдоменов на более чем 100 доменах, совместим с MS Exchange, работает на всех типах платформ и при этом выданный сертификат может одновременно работать как на Linux, так и Windows серверах. Вот что не может данный сертификат, так это обеспечить ресурсы зелёной адресной строкой.
Продукт не из дешёвых, он больше подходит для тех, у кого много своих сайтов или множество сертификатов с поддержкой субдоменов (Wildcard)
Wildcard SSL сертификаты
Сертификаты Wildcard SSL являются отличными помощниками, когда вам нужно защитить множество поддоменов принадлежащих одному и тому же домену. Стандартный SSL может защищать один домен или его поддомен, например, domain.tld ИЛИ sub.domain.tld
Однако современная инфраструктура включает в себя несколько сервисов, которые используют собственные субдомены. Если вам нужно защитить всего несколько поддоменов и вы уже знаете их имена, вам нужно выбрать мультидоменные сертификаты (SAN). Тем не менее, используйте сертификаты Wildcard SSL, если у вас много поддоменов, и в данный момент вы можете не знать все поддомены.
Wildcard SSL защищает неограниченное количество поддоменов, но только для домена следующего уровня. Если заказ размещен для *.domain.tld, это означает, что SSL будет защищать domain.tld (базовый домен) и все его субдомены (следующего уровня), такие как any.domain.tld, mail.domain.tld и т. Д., Но НЕ *.*.Domain.tld. По сути, двойные Wildcard сертификаты, так же как и EV Wildcard сертфикаты не существуют.
Также можно использовать Wildcard SSL для почтовых серверов и серверов обмена (exchange), так как большинство современных программных продуктов могут работать с ними, как с UCC/SAN сертификатами.
Существует также новый тип сертификатов, который называется «Многодоменные сертификаты Wildcard». Они способны защитить до 250 различных Wildcard доменов, что означает неограниченное количество поддоменов в рамках 250 доменов. Большинство наших сертификатов Wildcard также имеют неограниченное лицензирование сервера, поэтому вы можете устанавливать различные варианты субдоменов на свои разные серверы и IP-адреса.
Let’s Encrypt начал выдавать wildcard сертификаты
Let’s Encrypt перешагнул важную веху — с 14 марта каждый может получить бесплатный SSL/TLS сертификат вида *.example.com. Пример установленного сертификата:
Вчера Let’s Encrypt официально объявил о запуске ACMEv2 (Automated Certificate Management Environment), который наконец позволяет получить wildcard сертификат. Изначально планировалось начать их выдачу в январе, однако запуск перенесли из-за обнаруженных проблем.
Получение wildcard сертификата сейчас возможно только через DNS challenge, где необходимо временно создать TXT запись вида _acme-challenge.example.com с определенным значением.
Официальный клиент Certbot и некоторые другие клиенты для автоматического обновления сертификатов уже поддерживают staging ACMEv2, версии для production на подходе. И чтобы автоматически пройти DNS challenge уже есть несколько специальных Certbot плагинов. Разумеется, скоро их будет еще больше, в том числе и для сторонних клиентов.
В качестве простейшего примера я вручную получил сертификат на домен, которым владею — baur.im, через браузерный клиент https://www.sslforfree.com. Если я хочу использовать один и тот же сертификат как для суб-доменов, так и для самого домена, то это надо указать явно: baur.im *.baur.im (картинки кликабельны):
Пройдя дальше, предлагается пройти два DNS challenge.
Добавляем обе запрашиваемые TXT записи на суб-домен _acme-challenge.baur.im
И можно скачивать сертификат, который будет действовать 3 месяца.
Обзор SSL-сертификатов: типы, выбор, приемущества.
Многие задавали себе вопрос, чем различаются разные SSL-сертификаты, зачем его получать и почему нельзя использовать самоподписанный.
Здесь я попытаюсь ответить на эти вопросы, рассмотрев:
Я не претендую за 100% верность данной статьи, она основана только на моем мнении и личном опыте 🙂
SSL — Secure Sockets Layer — стандарт передачи защифрованных данных через сеть. Касательно web-индустрии это протокол HTTPS.
О сертификатах вообще и зачем их нужно подписывать.
Здесь и далее речь пойдет приемущественно о web-сайтах. Вопросы SSL + FTP, Email, цифровых подписей исходного кода и пр. до поры оставим в стороне.
SSL-сертификат, это индивидуальная цифровая подпись вашего домена. Он может быть:
Разберем их более подробно.
Самоподписанный сертификат не гарантирует ничего. Любой человек может взять и выдать себе такой сертификат. Все браузеры выдают клиенту предпреждение о том, что сертификат не надежен.
Подписанный не доверенным ЦС сертификат тоже не подтверждает ничего, т.к. существуют ЦС, продающие сертификаты всем желающим и без проверок. Большинство браузеров реагирует на такие сертификаты аналогично самоподписанным.
Сертификат, подписанный доверенным источником (как пример — Thawte или VerySign) подтверждает, что:
На доверенные сертификаты браузеры ошибку не выдают.
Но это технически. А теперь о том, что показывает доверенный сертификат посетителю вашего сайта.
Многих пользователей (особенно зарубежных — наши пока к этому не привыкли) самоподписанный сертификат (или отсутствие SSL в вещах, касающихся услуг\финансов\privacy) может если и не отпугнуть, то поставить жирный минус в вашу пользу.
Мой личный вывод: на всех сайтах, связанных с онлайн-коммерцией, платежами, личной информацией SSL должен быть.
Типы сертификатов.
Допустим, руководствуясь соображениями из 1 части статьи вы решили купить подписанный сертификат. Каково же будет ваше удивление, когда на сайте ЦС вы узнаеете, что они бывают разные 🙂
Esential SSL — самый не дорогой и быстро оформляемый сертификат. Доступен как для юридических, так и для физических лиц. Проверяется только право владения доменным именем, личные данные или регистрация компании не проверяются. Выдается на 1 домен.
Instant SSL — доступен и для физ. лиц, и для юр. лиц. Проверяется право владения доменом, регистрационные данные компании либо личность физ. лица. Выдается на 1 домен.
SGC SSL-сертификат. — Аналогично Instant SSL, но с поддержкой 40-битных расширений (актуально для старых ОС и браузеров). Выдается на 1 домен, либо wildcard (см. ниже).
Обычный Wildcard. — тоже самое, что и обычный сертификат, но выдается не на 1 домен, а на все поддомены корневого домена. Т.е. не только на domain.com, a и на www.domain.com, bill.domain.com и т.д. Стоит на порядок дороже.
EV (Extended Validation) сертификат. — сертификат расширенной проверки, доступен только юридическим лицам. Проверяется владение доменом, компания, нотариально заверенные переводы документов на английский язык, требует подтверждения данных третьей стороной. Позволяет установить на сайте картинку-подтверждение владением и отображается в браузерах как гарантированно доверенный (зеленым цветом), против желтого у обычных сертификатов. Стоит в 2-3 раза дороже обычного, регистрация занимает продолжительное время.
В браузере выглядит так:
EV Wildcard и EV SGC. — аналогично Wildcard и SGC, но с расширенной проверкой.
Instant и Essential сертификаты позиционируются как продукт для сайтов частных лиц и органзаций, не связанных с электронной коммерцией.
Extended Validation — для сайтов, связанных с финансами, услугами (интернет-банкинг, платежные системы, интернет-магазины и пр.).
В следующей статье я напишу, как выбрать регистратора и получить сертификат.
Виды SSL-сертификатов и их особенности
Через Timeweb можно заказать сертификаты, выпускаемые центром сертификации Sectigo, а также бесплатные сертификаты, выпускаемые некоммерческим центром сертификации Let’s Encrypt.
Все представленные сертификаты, кроме EV SSL, являются сертификатами с проверкой домена (DV), которые подтверждают подлинность доменного имени. Они не содержат информации о компании и могут быть оформлены на физическое лицо.
Sectigo
Sectigo Positive Wildcard SSL — этот вид сертификата будет работать на домене и всех поддоменах одного домена. Имеет упрощенную процедуру проверки при выпуске. Срок выпуска сертификата составляет несколько часов.
Особенности данных сертификатов:
Особенности использования сертификата Sectigo Positive Wildcard SSL
Сертификаты SSL Wildcard, работающие на домене и всех его поддоменах, в рамках нашей системы устанавливаются на конкретную директорию. Соответственно, для корректной работы сайта при использовании такого типа сертификата необходимо выполнение следующих условий:
все поддомены должны быть привязаны к директории, на которую установлен сертификат;
файлы сайтов, размещенных на поддоменах, должны быть загружены в подпапки в основной директории сайта;
Let’s Encrypt
Let’s Encrypt предоставляется только на тарифных планах виртуального хостинга (Year+, Optimo+, Century+, Millennium+, 1Сайт, Eterno, Premium).
Необходимые условия для установки Let’s Encrypt
Для успешной установки Let’s Encrypt должны быть соблюдены несколько условий:
Также ошибка установки сертификата может возникнуть, если недоступен так называемый «проверочный путь». При выпуске сертификата создается проверочный файл, который размещается по пути:
Однако настройки отдельных web-приложений могут запрещать размещение файлов по такому пути. В этом случае в панели управления в статусе сертификата будет выведено сообщение «Ошибка». Для устранения проблемы необходимо обратиться в службу поддержки.
SSL Wildcard
SSL Wildcard — сертификат, который выпускается бессрочно и работает на домене и всех его поддоменах.
Сертификат оплачивается единоразово в момент заказа, после чего бесплатно продлевается автоматически.
SSL Wildcard предоставляется на тарифных планах виртуального хостинга и для выделенных серверов с нашим администрированием.