|
Использование сервером SSL для обеспечения криптографической защиты информации может понадобиться при работе с конфиденциальными персональными данными посетителей сайта (например, номера кредитных карт, личные паспортные данные). Во-первых, посетитель должен быть уверен, что отправляемые данные не будут перехвачены, а во-вторых, SSL-сертификат подтверждает, что посетитель отправляет данные именно на тот сервер, который указан в адресной строке браузера. Установка, настройка SSL и возможности по использованию этой технологии напрямую связаны с функциональностью хостинга, на котором размещён web-сайт. В частности мы рекомендуем хостинг Hostnika.ru на серверах которого не возникает проблем с установкой сертификатов.
Итак, ваш web-сайт должен поддерживать криптографически защищённые соединения с клиентским браузером. Первым шагом на пути реализации этого требования будет выяснение у хостинг-провайдера, может ли он предоставить тарифные планы хостинга с поддержкой SSL. Так как работа SSL требует дополнительных ресурсов от хостинга, то поддержка этой технологии обычно доступна не на всех тарифных планах. Более того, некоторые хостинг-провайдеры вообще не предоставляют поддержки SSL. Включение SSL для web-сайта требует выделения хостинг-провайдером отдельного IP-адреса для каждого сайта. Эта услуга либо может входить в стандартный пакет тарифа хостинга, либо приобретается за дополнительную плату. Обмен данными при работе web-сайта с SSL происходит по протоколу HTTPS, поэтому web-сервер должен быть настроен таким образом, чтобы была возможность использовать HTTPS. Выполнить настройку может хостинг-провайдер по заявке клиента. Кроме того, необходимо убедиться, что хостинг-провайдер поддерживает установку клиентских сертификатов SSL.
Сертификаты
После того, как сняты проблемы с хостингом, нужно определиться с сертификатом SSL. Сертификат необходим для того, чтобы пользовательский браузер мог проверить подлинность вашего сайта. Сертификаты SSL выдаются так называемыми сертифицирующими центрами. В роли такого центра может выступать и сам хостинг-провайдер - в таком случае на вашем сайте будет использоваться сертификат, выданный хостинг-провайдером. Такая услуга удобна, но она обладает серьёзным ограничением: скорее всего, хостинг-провайдер не является "общепринятым" сертифицирующим центром, поэтому посетители вашего web-сайта, работающего с сертификатом от хостинг-провайдера, будут получать от системы безопасности браузера предупреждение о том, что организация, выдавшая сертификат, не входит в список "доверенных".
Дело в том, что в стандартный список удостоверяющих центров, содержащийся в браузере, входят не все возможные центры, а только определённый список "авторизованных". Для того чтобы подобных предупреждений не появлялось, можно либо попросить пользователя внести центр, выдавший ваш сертификат, в список доверенных (браузеры позволяют это сделать), либо получить сертификат в одной из "стандартных" доверенных сертифицирующих организаций (удостоверяющих центров). Среди удостоверяющих центров наиболее известна компания VeriSign (или принадлежащая VeriSign компания Thawte). Другие широко известные центры: COMODO, IdenTrust, Network Solutions.
Для получения сертификата нужно обратиться либо напрямую в один из центров сертификации, либо к авторизованному представителю этого центра на территории России.
Перед тем как получать сертификат SSL, необходимо выбрать подходящий по назначению тип сертификата. Сертификаты отличаются, например, криптографической стойкостью используемых протоколов и механизмом удостоверения подлинности.
Процедура получения сертификата SSL состоит из нескольких этапов.
Прежде всего нужно подготовить так называемый Certificate Signing Request (CSR) - это сообщение, содержащее открытый ключ (из сгенерированной пары "открытй ключ - секретный ключ"), который будет входить в сертификат и выдаваться посетителям вашего сайта, и информацию о владельце сайта. Данные CSR необходимы для формирования сертификата. Сгенерировать CSR можно либо самостоятельно, если у вас есть достаточные права по управлению услугой хостинга и информация о технических параметрах, либо с помощью службы технической поддержки хостинг-провайдера. Формат CSR должен соответствовать стандартам, используемым сертифицирующим центром. Помимо технических параметров и адреса сайта нужно будет указать сведения о владельце сертификата. (Следует иметь в виду, что необходимо сохранять в тайне секретный ключ, который связан с CSR, и никому его не передавать.)
Подготовленное сообщение CSR отправляется в центр сертификации. Центр проверяет предоставленные данные. Процедура проверки может занимать несколько дней. После того, как проверка завершилась успешно, центр сертификации выдаёт сертификат. Сертификат выдаётся в электронном виде: это набор символов, подготовленный в соответствии с форматами данных, принятых в системе технологий, связанных с SSL. Сертификат удостоверяет доменное имя, соответствующее сайту, то есть, подтверждает, что предоставленный владельцем сайта открытый ключ соответствует именно тому домену, который пользователь видит в адресной строке браузера. Поэтому для каждого сайта (а точнее, для каждого доменного имени) придётся получать новый сертификат.
После того как данные сертификата получены, их нужно установить на хостинг. Хостинг-провайдер должен предоставлять средства по установке клиентских сертификатов. Обычно установка сертификата производится через панель управления хостингом.
Теперь браузер посетителя вашего сайта сможет проверить подлинность сайта в удостоверяющем центре, который выдал сертификат. Проверка происходит автоматически, в ходе установления SSL-соединения, с использованием предъявленного сайтом сертификата, подлинность которого браузер проверяет при помощи собственной базы предустановленных сертификатов удостоверяющих центров.
Расходы и списки
Коммерческие удостоверяющие центры проводят процедуры по выдаче сертификатов и последующему подтверждению подлинности за плату, которая взымается за выдачу сертификата SSL и за последующую его поддержку (абонентская плата). Обычная величина абонентской платы - около 6000 рублей в год, в зависимости от типа сертификата и объёма оказываемых услуг.
Подробный список удостоверяющих центров можно найти в каталоге Open Directory.
site.nic.ru
|
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,status=no,resizable=yes'));keyit.focus();){kind=logo}
