Сертификат компании GlobalSign. Ssl что это такое

Происходят похожие вещи — аккредитацией на электронных площадках занимаются спецы IT-отделов (тыжпрограммисты), инженеры и другой технический люд.

Вот и этот пост предназначен для тех, кто уже давно в IT, но самому лень вникать; для молодых специалистов и, вообще, для всех, кому эта информация может быть полезна. Так как основной контингент здесь — люди технически подкованные, мы решили обойтись без скринов, только хардкор текст, если они (картинки) будут нужны — добавим по заявкам читателей:)

Стоит заметить, что предлагаемые шаги аккредитации не единственные правильные в своем роде (существует, как минимум, несколько рабочих вариантов), но многократно проверенные, в том числе и на личном опыте автора.

Аккредитоваться на площадках просто. Это не требует особого вдохновения или творческого размаха. К нам в IST-Budget регулярно обращаются, и платят за помощь в аккредитации, хотя, человек вполне может это сделать сам. Но таки некоторые нюансы все же есть, способные отнять время и попить кровь, особенно, если нет времени и желания с этим подробно разбираться. Вот об этих нюансах речь и пойдет.

Для начала – краткий глоссарий из четырех пунктов:

Аккредитация – процедура, во время которой Вы сперва настраиваете рабочее место пользователя под каждую ЭТП, потом заполняете заявку на аккредитацию с указанием реквизитов и с прикреплением сканов уставных документов, дожидаетесь ответа от площадки о результатах рассмотрения Вашей заявки (от 1 до 5 дней) и если пришел отказ – устраняете причины отказа, подаетесь снова и переходите в режим ожидания. Процедура аккредитации проходится один раз в три года, и ежегодно нужно прикреплять к действующему аккаунту новую электронную подпись, это совсем просто.

ЭТП – электронная торговая площадка. Сайт, на котором размещаются аукционы (не все, а только принадлежащие к этой площадке) и непосредственно проходят сами процедуры участия в госзакупках: подача заявки на участие в аукционе, участие в аукционе, подписание гос.контракта. ЭТП условно делятся на государственные и коммерческие. Государственные ЭТП представлены в количестве 5:

Порядок действий аккредитации на каждой из площадок примерно идентичен, об этом более подробно расскажем ниже.

Носитель (он же Етокен, Рутокен или Смарт-карта) – привычная взгляду флешка с USB-интерфейсом и электронным сертификатом подписи «на борту». Беречь как зеницу ока!

КриптоПро CSP – криптографическая утилита, необходимая для работы с ЭЦП на компьютере. Стоит копейки, имеет бесплатный период использования (минимум – 1 месяц) Существуют аналоги, например, ЛИССИ-CSP.

_____________________________________________________________________________

Ну а теперь ближе к телу делу. Букв будет много.

1. Установка КриптоПро и сертификатов: личного и доверенного УЦ.

— Проверяем версию браузера. Сразу уточним — единственный браузер для работы с ЭЦП — IE. Существуют плагины, для использования ЭЦП в Firefox, но об этом, может быть. мы напишем отдельную статью. Желательно, чтобы версия IE на рабочем месте, где производится настройка ЭЦП, не превышала 9. В версиях 10 и 11 некоторые ЭТП будут работать некорректно. Узнать версию IE можно в разделе браузера “Справка” — “О программе”:).

— Выбираем дистрибутив КриптоПро. Начинаем с дистрибутива утилиты КриптоПро. Скачать его можно с диска, который обычно дают вместе с выпущенной ЭЦП; а также, непосредственно с сайта-производителя www.cryptopro.ru/ или с одного из многочисленных открытых источников, например: http://ift.tt/1neByn9 (кнопка «Дистрибутивы»). При выборе версии дистрибутива стоит руководствоваться двумя критериями: 1. Если Windows не выше, чем 8.0 – выбираем версию КрипроПро 3.6, соответственно, если Windows 8.1 и далее (в перспективе появятся же) – КриптоПро 3.9 и выше. 2. В зависимости от разрядности Windows выбираем разновидность КрипроПро: x64 или x86.

— Устанавливаем дистрибутив КриптоПро. Установить дистрибутив можно без дополнительных настроек, которые, тем не менее, в процессе установки предлагаются на выбор. Если под рукой есть серийный номер – вбиваем сразу, если лицензию сразу не купили – не беда, но лучше в календарь записать и заблаговременно позаботиться о покупке, чтобы потом не было неприятных сюрпризов. После установки утилиты, ОС попросит перезагрузку, что и нужно будет сделать.

— Устанавливаем драйвер носителя. Следующий шаг – установка драйвера носителя ЭЦП. В зависимости от того, рутокен у Вас или етокен, выбираем драйвер и в том же автоматическом режиме устанавливаем. Собственно, сам драйвер находится на заботливо врученном Вам диске или снова по ссылке: http://ift.tt/1neByn9 (раздел «Дистрибутивы» — Драйвера Rutoken/Etoken. Есть небольшое отличие в установке драйвера для разных видов носителей: для рутокена достаточно установить простой драйвер в соответствии с разрядностью Windows; етокен чуть более капризный, для установки ПО под него лучше подойдет eToken PKI Client, который по совместительству является не только драйвером, но и небольшой панелью управления ЭЦП. После установки драйвера вновь перезагружаем компьютер.

— Настраиваем носитель. Открываем панель управления, находим иконку КриптоПро и запускаем утилиту с правами Администратора. Вкладка «Оборудование» — кнопка «Настроить считыватели» — кнопка «Добавить» (при запуске утилиты без прав Администратора кнопка скорее всего будет неактивной) и из списка доступных считывателей выбираем нужные нам: Active co ru Token 0 (вместе с Active co ru Token 1 и Active co ru Token 2) или AKS VR 0 (а также AKS ifdh 0 и AKS ifdh 1), и подтверждаем выбор. Следом в этой же вкладке жмем кнопку «Настроить типы носителей», кнопка «Добавить» и из списка доступных носителей вновь выбираем нужные нам: Rutoken или Etoken.

— Устанавливаем личный сертификат. Снова запускаем утилиту КриптоПро — раздел “Сервис” — кнопка “Просмотреть сертификаты в контейнере” — кнопка “Обзор”. В появившемся окне доступных сертификатов выбираем нужную запись (если ранее на носитель были записаны другие сертификаты — в списке будет несколько строк на выбор) и подтверждаем выбор. В разделе “Сертификат для просмотра” — кнопка “Свойства” — кнопка “Установить сертификат”.

— Устанавливаем сертификат Удостоверяющего Центра. Как правило, сертификат УЦ должен быть на диске в комплекте с ЭЦП и на сайте самого Удостоверяющего центра. При установке сертификата УЦ важно выполнить следующее условие: в разделе “Хранилище сертификатов” необходимо переключить выбор в поле “Поместить все сертификаты в следующее хранилище”, выбрать в списке — Доверенные корневые центры сертификации, и подтвердить свой выбор. Для того, чтобы проверить, корректно ли установились сертификаты, запускаем IE — вкладка “Сервис” — раздел “Свойства обозревателя” — кнопка “Содержание” — кнопка “Сертификаты”. В разделе личных сертификатов находим и открываем нужную запись, в случае успешной установки Вы увидите примерно такую надпись:

Этот сертификат предназначается для:

Защищает сообщения электронной почты

Подтверждает удаленному компьютеру идентификацию вашего компьютера

Класс средства ЭП КС1

Класс средства ЭП КС2

1.2.643.5.5.66.1

В случае, если сертификат УЦ не был установлен или его срок действия закончился, а также если закончился срок действия личного сертификата, появится надпись: “Этот сертификат не удалось проверить, проследив его до доверенного центра сертификации”.

2. Требования к документам Компании

Чаще всего, причиной отказа в аккредитации становится ошибка (или ряд ошибок), допущенная при оформлении документов, требуемых от компании при аккредитации.

— Если в документе больше 1 страницы (например, Устав или Выписка из налоговой) — необходимо упаковать документ в архив. Рекомендуемый формат архива — zip. При попытке прикрепить на площадку архивы в формате rar или 7z — могут возникать сообщения об ошибке.

— Общий объем одного файла не должен превышать 10 Мб. Если Ваш документ весит более 10 Мб, рекомендуется уменьшить разрешение страниц в документе или разделить документ на несколько архивов. При разделении документа на несколько архивов крайне не рекомендуется использовать базовую возможность архиватора автоматически разбивать архив на part1, part2… part100. Оператор ЭТП скорее всего не примет такое оформление документов. Рекомендуемый способ разделения архива — вручную распределить страницы документа по отдельным папкам, присвоить папкам понятные названия (например: Устав_страницы1_15) и добавить в архивы.

— сканировать необходимо ВСЕ страницы требуемых документов. Даже если они пустые. Даже если по-Вашему мнению они не нужны. Площадка (а потом и Госзаказчики) принимают к рассмотрению сканы документов только в том случае. если представлены сканы всех страниц. Самый распространенный пример: при аккредитации ИП требуется прикрепить скан страниц паспорта. Определенное количество аккредитуемых “пролетает” с первого раза, потому что по привычке сканируют только страницу с фотографией и пропиской.

— Все площадки, без исключения, не любят документы в формате “Приказ” (Приказ о назначении, Приказ о продлении полномочий и т.д.). Существенно сэкономить время поможет изначальное создание документов в формате “Решение” (Решение о назначении, Решение о продлении полномочий”).

— Если Ваши сотрудники метаются в поисках шаблонов документов для аккредитации, покажите им ссылку: http://ift.tt/1ly1KgP . Здесь есть всё и бесплатно.

3. Общая настройка браузера.

Для корректной работы ЭЦП на электронных площадках необходимо выполнить еще несколько действий:

— В браузере IE раздел “Сервис” — “Свойства обозревателя” — “Безопасность” — “Надежные узлы”. Добавляем в надежные узлы все пять ЭТП в следующем формате (http и https):

http://ift.tt/1neBB2h

http://ift.tt/1ly1HBB

http://*.roseltorg.ru/

https://*.roseltorg.ru/

http://ift.tt/1neBDXH

http://ift.tt/1neBBiB

http://*.rts-tender.ru/

http://ift.tt/1ly1HBF

http://*.etp-micex.ru/

https://*.etp-micex.ru/

Добавляя адреса в надежные узлы, не ставим галочку “Для всех узлов этой зоны требуется проверка серверов (https:).

— там же, в разделе “Безопасность”, открываем раздел “Другой” и в появившемся списке прокручиваем скролл до раздела “Элементы ActiveX и модули подключения”. В этом разделе все переключатели ставим в состояние “Включить” и подтверждаем выбор. После этой процедуры рекомендуется вновь открыть раздел “Другой” и просмотреть раздел ActiveX, иногда некоторые переключатели слетают в состояние “выключить”.

— Сложность в аккредитации могут создать различные надстройки браузера, например: плагин Skype “click to call” и другие. В идеале, если какие-то конкретные надстройки Вам целенаправленно не нужны, отключите все. Открыть список надстроек можно через “Сервис” — “Надстройки”.

— Не лишним будет отключить еще и блокирование всплывающих окон.

4. Аккредитация.

Для успешного проведения аккредитации остается преодолеть последнюю сложность: установка библиотеки Capicom. На каждой ЭТП эту библиотеку нужно устанавливать отдельно (Capicom на РТС-Тендер не подойдет для ЭТП ММВБ и т.д.), также необходимо учитывать интересный нюанс: Capicom устанавливается в несколько этапов. Выглядит это так: при попытке открыть аккредитационную форму для заполнения данных появляется табличка или всплывающее окно, призывающее установить библиотеку Capicom или сопутствующий ей плагин. Кликом устанавливаем библиотеку, страница автоматически обновляется и вновь появляется сообщение о необходимости установить библиотеку и так по кругу. На площадке Сбербанк-АСТ необходимо дополнительно установить Capicom по ссылке: 32-bit (http://ift.tt/1neBBiF) 64-bit (http://ift.tt/1ly1HBH). На некоторых площадках эту процедуру (установка Capicom — автоматическое обновление страницы) необходимо повторить 5-7 раз, до полной установки библиотеки и появления другого сообщения, например, с предложением ввести пин-код устройства.

Полезная информация: если Вам не сообщили PIN Вашего токена, можно попробовать ввести стандартный код:

— для Рутокена: 12345678

— для Етокена: 123456789 или 1234567890

После всех проведенных настроек остается выполнить стандартный ряд действий:

— заполнить все поля в формах заявлений на аккредитацию (5 площадок = 5 заявлений), при этом некоторые поля недоступны для ручного редактирования, т.к. автозаполняются информацией из ЭЦП;

— указать банковские реквизиты, в т.ч. и юридический адрес Вашего банка;

— прикрепить документы в соответствующие разделы (на площадках: Сбербанк-АСТ и Заказ РФ необходимо, перед подачей заявки на аккредитацию, отдельно подписать каждый прикрепленный документ);

— отправить заявку на аккредитацию, подтвердить заявку (на почту придет письмо с просьбой подтвердить заявку);

— приготовиться к шквалу звонков на номер телефона, который Вы указали при аккредитации. Будут предлагать — банковские гарантии и кредиты, тендерное сопровождение и прочее сопутствующее.

Несмотря на то, что регулярный вход на ЭТП осуществляется через электронную подпись, рекомендуется аккуратно записать и сохранить пары логин/пароль для каждой площадки.

Не сомневаемся, что у каждого, кто впервые встал на тропу аккредитации (пафос +100) — всё обязательно получится! Но если возникнут вопросы — добро пожаловать в комментарии.

This entry passed through the Full-Text RSS service — if this is your content and you"re reading it on someone else"s site, please read the FAQ at http://ift.tt/jcXqJW.

Сертификат компании GlobalSign

Как вы можете увидеть, соединение с сервером компании происходит по безопасному соединению. Это можно заметить, как по названию протокола https (в адресной строке вместо стандартного fttрs://адрес_сайта.домен имеется fttрs://адрес_сайта.домен), так и по статусной строке, где имеется значок, напоминающий по форме замок (рис. 10.6).

Рис. 10.6. Шаг 6

Итак, чтобы посмотреть сертификат (цифровую подпись сайта), дважды щелкните по значку-замку. Появится следующее окно - информация о сертификате (рис. 10.7).

В окне имеется несколько вкладок - Общие (General), Состав (Details), Путь сертификации (Certification Path).

• Общие (General) - в данной вкладке дается общая информация о сертификате, в частности для чего он нужен, кому выдан, срок его годности.
  

Рис. 10.7. Окно Сертификат, вкладка Общие

Итак, сертификат:

• Обеспечивает получение идентификации от удаленного компьютера (Guarantee the identity of a remote computer) - гарантирует, что удаленный компьютер является тем, кем представляется. В итоге, вы можете быть уверены в том, что не посылаете информацию постороннему лицу, представляющемуся компанией GlobalSign;
  
• Подтверждает, что письмо пришло от конкретного отправителя (Ensure e-mail came from the sender) - гарантирует, что сообщений e-mail, полученное от веб-сайта, пришло от отправителя, а не от какой-то другой структуры или сетевого объединения. Эти данные должны уверить вас - пользователя в том, что все точно, честно и без подвохов, "подводных камней";
  
• Защищает электронную почту от подделки (Protect e-mail from tampering) - защита электронного письма от вмешательства. Имеется в виду, что по пути следования в сообщение e-mail не будут добавлены или, наоборот, удалены какие-то данные, важная или не очень информация. Дается 100%-ная гарантия того, что письмо дойдет до получателя таким, каким оно было отправлено - без изменений, осуществленными посторонними лицами;
  
• Позволяет запретить другим лицам просматривать (Ensure the content of e-mail cannot be viewed by others) - гарантируется невозможность просмотра, прочтение сообщения e-mail посторонними лицами. То есть, увидеть, изучить, прочитать сможете вы и только вы.
  

• Кому выдан (Issued to) и Кем выдан (Issued by). Изучаемый сертификат как выдавался, так и получался одной и той же компанией - GlobalSign. Это вполне логично.
  
• Далее идет Действителен с **.**.** по **.**.** (Valid from **.**.** to **.**.**). Здесь дается информация о сроке годности сертификата, т. е. с к&кое по какое время он действителен.
  

После изучения вкладки Общие (General) уже можно прийти к предварительным выводам - компания та, за кого себя выдает. Но пока e-mail еще не пришел, продолжаем изучение сертификата.

• Состав (Details) - здесь можно узнать более подробную информацию о сертификате. Например, его версию или серийный номер. Одним из немаловажных данных является срок годности сертификата - здесь его можно узнать с точностью до секунд. Также вас может заинтересовать длина публичного ключа - она составляет 1024 бита. Стоит напомнить, что чем длиннее ключ, тем выше безопасность (рис. 10.8).
  

Данные, находящиеся во вкладке Состав (Details), вы можете скопировать в файл. Для этого достаточно нажать кнопку Копировать в файл (Copy to File).

• Путь сертификации (Certification path) - на рис. 40.9 представлен путь сертификации данного ресурса. Итак, главным сервером является GlobalSign Root CA. Далее идет GlobalSign Primary Secure Server CA. Haпрашивается вывод: если есть Primary, значит есть и Secondary и т. д. После Primary идет просто GlobalSign Secure Server CA, а уже потом сертифицированный ресурс - secure.globalsign.net.
  

За время изучения вами сертификатов GlobalSign уже прошло достаточно времени для генерации и получения ссылки на вашу персональную электронную подпись. Проверьте почтовый ящик.

Пришло письмо следующего содержания:

Dear Sir, Madam,

You have requested a GlobalSign digital certificate. We are certain that you will enjoy the advantages!

In order to download your certificate, please use the hyperlink below: http://secure.globalsign.net/en/receive/index.cfm?id=4272140124

Рис. 10.8. Окно Сертификат, вкладка Состав

Рис. 10.9. Окно Сертификат, вкладка Путь сертификации

For an optimal use we would like to inform you that:

You have to notify GlobalSign immediately if there i s an error in your certificate. Without reaction from your side within, 15 days after receipt you have accepted the certificate.

When data are changed in your certificate, you have to revoke your certificate.

By accepting a certificate, the subscriber assumes a duty to retain control of the subscriber"s private key, to use a trustworthy system, and to take reasonable precautions

to prevent its loss, disclosure or unauthorized use.

If you experience any technical problems, please visit our support center for further help at http://support.globalsign.net

Good luck with your certificate!

Do not hesitate to contact us for any information: [email protected]

Kind regards, GlobalSign.

Для тех, кто не понимает по-английски, привожу перевод:

Дорогой сэр, мадам!

Вы сделали запрос на получение цифрового сертификата GlobalSign. Мы уверены, что вам понравятся наши преимущества.

Для того чтобы загрузить ваш сертификат, пожалуйста, следуйте по ссылке:

http://secure.globalsign.net/en/receive/index.cfm?id=*******

Для оптимального использования, мы бы хотели вас проинформировать:

• Вы должны немедленно сообщить об ошибке в вашем сертификате. Не получив никакой реакции от вас в течение 15 дней, мы решаем, что вы приняли сертификат.
  
• При изменении информации в вашем сертификате, вы должны его отозвать.
  

Принимая сертификат, подписчик понимает обязанность следить за "личным ключом", использовать надежную систему, и не создавать ситуаций, ведущих к потере ключа.

Как вы можете увидеть, соединение с сервером компании происходит по безопасному соединению. Это можно заметить, как по названию протокола https (в адресной строке вместо стандартного https://адрес_сайта.домен имеется https://адрес_сайта.домен ), так и по статусной строке, где имеется значок, напоминающий по форме замок (рис. 10.6).

Рис. 10.6 . Шаг 6

Итак, чтобы посмотреть сертификат (цифровую подпись сайта), дважды щелкните по значку-замку. Появится следующее окно - информация о сертификате (рис. 10.7).

Рис. 10.7 . Окно Сертификат, вкладка Общие

В окне имеется несколько вкладок - Общие (General), Состав (Details), Путь сертификации (Certification Path).

Общие (General) - в данной вкладке дается общая информация о сертификате, в частности для чего он нужен, кому выдан, срок его годности.

Итак, сертификат:

• Обеспечивает получение идентификации от удаленного компьютера (Guarantee the identity of a remote computer) - гарантирует, что удаленный компьютер является тем, кем представляется. В итоге, вы можете быть уверены в том, что не посылаете информацию постороннему лицу, представляющемуся компанией GlobalSign;
• Подтверждает, что письмо пришло от конкретного отправителя (Ensure e-mail came from the sender) - гарантирует, что сообщений e-mail, полученное от веб-сайта, пришло от отправителя, а не от какой-то другой структуры или сетевого объединения. Эти данные должны уверить вас - пользователя в том, что все точно, честно и без подвохов, "подводных камней";
• Защищает электронную почту от подделки (Protect e-mail from tampering) - защита электронного письма от вмешательства. Имеется в виду, что по пути следования в сообщение e-mail не будут добавлены или, наоборот, удалены какие-то данные, важная или не очень информация. Дается 100%-ная гарантия того, что письмо дойдет до получателя таким, каким оно было отправлено - без изменений, осуществленными посторонними лицами;
• Позволяет запретить другим лицам просматривать (Ensure the content of e-mail cannot be viewed by others) - гарантируется невозможность просмотра, прочтение сообщения e-mail посторонними лицами. То есть, увидеть, изучить, прочитать сможете вы и только вы.

Клиент 404260
Сколько будет стоить ЭЦП СМЭВ Сертификат предназначается для
Подтверждает удаленному компьютеру идентификацию вашего компьютера
Защищает сообщения электронной почты
Класс средства ЭП КС1

1.2.643.100.2.1
1.2.643.3.7.8.1
1.2.643.3.5.10.2.12
1.2.643.3.7.0.1.12
Михаил
1500 руб в год
Михаил
процедура следующая
Михаил
Вам необходимо заполнить заявку, оплатить счет, приехать к нам и забрать ЭЦП. Срок изготовления ЭЦП 1 рабочий день после оплаты.
Михаил
укажите емэйл, я вам все сброшу и распишу по ценам, по срокам, какие вам нужно подготовить документы, а также заявку.
Клиент 404260
филиал в Сургуте есть?
Михаил
есть
Клиент 404260
Ключ нужен на сотрудника от организации
Михаил
сделаем
Михаил
укажите почту я вам вышлю всю инфу
Михаил
я вам все выслал, письмо дошло до вас?
Михаил
Заявка на усиленную Квалифицированная электронная подпись для СМЭВа
Михаил
Данная услуга стоит 1500, в стоимость входит ЭЦП и прораммное обеспечение. Если нужен носитель ключевой Етокен (+ 1000 р). Срок изготовления после оплаты 1, 2 дня рабочих. Высылаю Вам заявку и перечень документов. Заявку заполняйте, я сделаю счет и договор. Вопросы будут звоните.
Заявку заполняем тут
Необходимо следующие документы (см. тут)
--
С уважением менеджер по работе с клиентами Куницын Михаил Владимирович (тел.: 8 800 7007 801 (бесплатный по России)), info@сайт , сайт
Михаил
По вопросам какие нужно ставить галочки сообщите, я подскажу что ставить надо
Михаил
помогу правильно заполнить заявку
Михаил
по всем вопросам обращаться ко мне, меня зовут Михаил
Клиент 404260
Вы выдавали уже бюджетым организациям ключи?
Михаил
ну конечно
Михаил
у нас есть специальный раздел для СМЭВа в заявке
Клиент 404260
Если закажу за иличкудоговорнужебудет
Михаил
что?
Клиент 404260
налик
Михаил
вы можете через кассу сбербанка оплатить
Клиент 404260
я могу к вам приехать и у вас все заполнить
Михаил
вам надо заполнить заявку на нашем сайте
Клиент 404260
Специализированный квалифицированный сертификат для системы межведомственного электронного взаимодействия (СМЭВ) выбираю?
Михаил
да
Клиент 404260
у него точно есть Класс средства ЭП КС1
Пользователь Центра Регистрации, HTTP, TLS клиент
1.2.643.100.2.1
1.2.643.3.7.8.1
1.2.643.3.5.10.2.12
1.2.643.3.7.0.1.12
Михаил
ну конечно
Михаил
не вы первы и последний
Клиент 404260
затем Сертификат для использования должностным лицом
Михаил
да
Клиент 404260
Участник информационного взаимодействия с Росреестром в СМЭВ выираю нет
Михаил
тут вам надо посоветоваться с теме где будите работать
Михаил
я не могу точно сказать что вам надо
Михаил
обычно клиенты это сами знают
Клиент 404260
ключ нужен мне как сотруднику для работы от организации в АИС РППСУ
Клиент 404260
Почему выдачу указывает по другому адресу ООО СИТ
Михаил
указывайте этот адрес
Михаил
по другому адресу нет носителей из-за этого он не показывается

Добрый день, уважаемые подписчики, уверен, что в подавляющем большинстве вы слышали такие слова как сертификат безопасности или шифрования, либо SSL сертификат, и я уверен, что большинство из вас даже знает их назначение., если нет, то я вам об этом очень подробно расскажу на личных примерах, все как полагается, после этого вы уже будите более тонко понимать все рубежи безопасности, которые предоставляют нам SSL сертификаты, без них сейчас уже не возможно представить современный IT мир, с его банковскими переводами, электронной почтой smime или интернет магазинами.

Что такое SSL и TLS

Secure Socket Layer или ssl это, технология, призванная сделать доступ к сайтам более надежным и безопасным. Сертификат шифрования позволяет, надежно защитить трафик, передаваемый между браузером пользователя и веб ресурсом (сервером), к которому браузер обращается, все это происходит за счет протокола https. Сделано, это все после того, как бурное развитие интернета привело к огромному количеству сайтов и ресурсов, которые требуют от пользователя ввод личных, персональных данных:

• Пароли
• Номера кредитных карт
• Переписка

Именно эти данные и являются добычей для хакеров, сколько уже было громких дел, с кражей персональной информации и сколько еще будет, ssl сертификат шифрования, призван это минимизировать. Разработкой технологии SSL выступила компания Netscape Communications, позднее она представила Transport Layer Security или проще TLS, это протокол основанный по спецификации SSL 3.0. И Secure Socket Layer и Transport Layer Security призваны обеспечить передачу данных между двумя узлами по интернету.

SSL и TLS не имеют принципиальных различий в своей работе, могут даже быть использованы на одном сервере одновременно, делается это исключительно из соображений обеспечения работы новых устройств и браузеров, так и устаревших, где Transport Layer Security не поддерживается.

Если рассматривать современный интернет, то там в качестве сертификата безопасности сервера и шифрования используется TLS, просто знайте это

Для примера откройте сайт Яндекса, я это делаю в Google Chrome, там на против адресной строки есть значок замка, щелкаем по нему. Тут будет написано, что подключение к веб-сайту защищено и можно нажать подробнее.

сразу видим значок Secure TLS connection, как я и говорил, большая часть интернет ресурсов именно на этой технологии. Давайте посмотрим сам сертификат, для этого жмем View certificate.

В поле о сведениях о сертификате видим его предназначение:

1. Обеспечивает получение идентификации от удаленного компьютера
2. Подтверждает удаленному компьютеру идентификацию вашего компьютера
3. 1.2.616.1.113527.2.5.1.10.2

Всегда нужно знать историю, как сертификат шифрования эволюционировал и какие у него выходили версии. Так как зная это и принцип работы, будет проще искать решение проблем.

• SSL 1.0 > данная версия в народ так и не попала, причины, возможно нашли его уязвимость
• SSL 2.0 > эта версия ssl сертификата была представлена в 1995 году, на стыке тысячелетий, она так же была с кучей дыр безопасности, сподвигнувшие компанию Netscape Communications к работе над третье версией сертификата шифрования
• SSL 3.0 > пришел на смену SSL 2.0 в 1996 году. Стало это чудо развиваться и в 1999 году крупные компании Master Card и Visa купили коммерческую лицензию на его использование. Из 3.0 версии появился TLS 1.0
• TLS 1.0 > 99 год, выходит обновление SSL 3.0 под названием TLS 1.0, проходит еще семь лет, интернет развивается и хакеры не стоят на месте, выходит следующая версия.
• TLS 1.1 > 04.2006 это его отправная точка, было исправлено несколько критичных ошибок обработки, а так же появилась защита от атак, где делался режим сцепления блоков шифротекста
• TLS 1.2 > появился в августе 2008
• TLS 1.3 > появится в конце 2016 года

Принцип работы TLS и SSL

Давайте разбираться как работает протоколы SSL и TLS. Начнем с основ, все сетевые устройства имеют четко прописанный алгоритм общения друг с другом, называется он OSI, который порезан на 7 уровней. В ней есть транспортный уровень отвечающий за доставку данных, но так как модель OSI это некая утопия, то сейчас все работаю по упрощенной модели TCP/IP, из 4 уровней. Стек TCP/IP, сейчас стандарт передачи данных в компьютерных сетях и он включает в себя, большое количество известных вам протоколов прикладного уровня:

Список можно продолжать очень долго, так их более 200 наименований. Ниже представлена схема сетевых уровней.

Ну и схема стека SSL/TLS, для наглядности.

Теперь все тоже самое простым языком, так как не всем понятны эти схемы и принцип работы ssl и tls не понятен. Когда вы открываете например мой блог сайт, то вы обращаетесь по прикладному протоколу http, при обращении сервер видит вас и передает на ваш компьютер данные. Если это представить схематично, то это будет простая матрешка, прикладной протокол http, кладется в стек tcp-ip.

Если бы на сайт стоял бы сертификат шифрования TLS, то матрешка протоколов была бы посложнее и выглядела бы вот так. Тут прикладной протокол http, кладется в SSL/TLS, который в свою очередь кладется в стек TCP/IP. Все тоже самое, но уже зашифровано, и если хакер перехватит эти данные по пути их передачи, то получит всего навсего цифровой мусор, а вот расшифровать данные может только та машина, которая устанавливала соединение с сайтом.

Этапы установки соединения SSL/TLS

Вот еще одна красивая и наглядная схема создания защищенного канала.

Установка соединения SSL/TLS на уровне сетевых пакетов

На иллюстрации, черные стрелки показывают сообщения, которые отправляются открытым текстом, синие - это сообщения, подписанные открытым ключом, а зеленые - это сообщения, отправленные с помощью шифрования объёмных данных и того MAC, о которых стороны договорились в процессе переговоров.

Ну и подробно про каждый этап обмена сетевых сообщений протоколов SSL/TLS.

• 1. ClientHello > пакет ClientHello делает предложение со списком поддерживаемых версий протоколов, поддерживаемые наборы шифров в порядке предпочтения и список алгоритмов сжатия (обычно NULL). Еще от клиента приходит случайное значение 32 байта, его содержимое указывает отметку текущего времени, его позже будут использовать для симметричного ключа и идентификатора сессии, который будет иметь значение ноль, при условии, что не было предыдущих сессий.
• 2. ServerHello > пакет ServerHello, отсылается сервером, в данном сообщении идет выбранный вариант, алгоритма шифрования и сжатия. Тут так же будет случайное значение 32 байта (отметка текущего времени), его также используют для симметричных ключей. Если ID текущей сессии в ServerHello имеет значение ноль, то создаст и вернёт идентификатор сессии. Если в сообщении ClientHello был предложен идентификатор предыдущей сессии, известный данному серверу, то протокол рукопожатия будет проведён по упрощённой схеме. Если клиент предложил неизвестный серверу идентификатор сессии, сервер возвращает новый идентификатор сессии и протокол рукопожатия проводится по полной схеме.
• 3.Certificate (3) > в данном пакете сервер отправляет клиенту свой открытый ключ (сертификат X.509), он совпадает с алгоритмом обмена ключами в выбранном наборе шифров. Вообще можно сказать в протоколе, запроси открытый ключ в DNS, запись типа KEY/TLSA RR. Как я писал выше этим ключом будет шифроваться сообщение.
• 4. ServerHelloDone > Сервер говорит, что сессия установилось нормально.
• 5. ClientKeyExchange > Следующим шагом идет отсылка клиентом ключа pre-master key, используя случайные числа (или отметки текущего времени) сервера и клиента. Данный ключ (pre-master key) как раз и шифруется открытым ключом сервера. Данное сообщение может расшифровать только сервер, с помощью закрытого ключа. Теперь оба участника вычисляют общий секретный ключ master key из ключа pre-master.
• 6. ChangeCipherSpec - клиент > смысл пакета, указать на то, что теперь весь трафик, который идет от клиента, будет шифроваться, с помощью выбранного алгоритма шифрования объёмных данных и будет содержать MAC, вычисленный по выбранному алгоритму.
• 7. Finished - клиент > Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished. Оно шифруется с помощью алгоритма шифрования объемных данных и хэшируется с помощью алгоритма MAC, о которых договорились стороны. Если сервер может расшифровать и верифицировать это сообщение (содержащее все предыдущие сообщения), используя независимо вычисленный им сеансовый ключ, значит диалог был успешным. Если же нет, на этом месте сервер прерывает сессию и отправляет сообщение Alert с некоторой (возможно, неконкретной) информацией об ошибке
• 8. ChangeCipherSpec - сервер > пакет, говорит, что теперь весь исходящий трафик с данного сервера, будет шифроваться.
• 9.Finished - сервер >Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished
• 10. Record Protocol (протокол записи) > теперь все сообщения шифруются ssl сертификатом безопасности

Как получить ssl сертификат безопасности

Давайте теперь поймем где взять сертификат шифрования, или как получить ssl сертификат безопасности. Способов конечно несколько, есть как платные, так и бесплатные.

Бесплатный способ получить tls сертификат безопасности

Этот способ, подразумевает использование самоподписного сертификата (self-signed), его можно сгенерировать на любом веб-сервере с ролью IIS или Apache. Если рассматривать современные хостинги, то в панелях управления, таких как:

• Directadmin
• ISPmanager
• Cpanel

там это штатный функционал. Самый большой плюс в самоподписных сертификатах шифрования, это то, что они бесплатные и начинаются, сплошные минусы, так как никто кроме вас не доверяет этому сертификату, вы наверняка видели в браузерах вот такую картину, где сайт ругается на сертификат безопасности.

Если у вас самоподписный сертификат, используется исключительно для внутренних целей, то это нормально, а вот для публичных проектов, это будет огромный минус, так как ему никто не доверяет и вы лишитесь большого числа клиентов или пользователей, которые у видя ошибку сертификата безопасности в браузере, сразу его закроют.

Давайте смотреть как можно получить ssl сертификат безопасности, для этого формируется запрос на выпуск сертификата, называется он CSR запрос (Certificate Signing Request). Делается это чаще всего у специальной компании в веб форме, которая спросит вас несколько вопросов, про ваш домен и вашу компанию. Как только вы все внесете, сервер сделает два ключа, приватный (закрытый) и публичный (открытый). Напоминаю открытый ключ не является конфиденциальным, поэтому вставляется в CSR запрос. Вот пример Certificate Signing Request запроса.

Все эти не понятные данные легко можно интерпретировать специальными CSR Decoder сайтами.

Примеры двух сайтов CSR Decoder:

• http://www.sslshopper.com/csr-decoder.html
• http://certlogik.com/decoder/

Состав CSR запроса

• Common Name: доменное имя, которое мы защищаем таким сертификатом
• Organization: название организации
• Organization Unit: подразделение организации
• Locality: город, где находится офис организации
• State: область или штат
• Country:двухбуквенный код, страны офиса
• Email: контактный email технического администратора или службы поддержки

Как только Certificate Signing Request сгенерирован, можно начинать оформлять заявку на выпуск сертификата шифрования. Центр сертификации будет производить проверку, всех данных указанных вами в CSR запросе, и если все хорошо, вы получите свой ssl сертификат безопасности и вы его сможете использовать для https. Теперь ваш сервер, автоматом сопоставит выпущенный сертификат, со сгенерированным приватным ключом, все вы можете шифровать трафик подключения клиента к серверу.

Что такое центр сертификации

Что такое CA - Certification Authority или центр сертификации, читайте по ссылке слева, я подробно рассказал об этом там.

Какие данные содержит в себе SSL сертификат

В сертификате хранится следующая информация:

• полное (уникальное) имя владельца сертификата
• открытый ключ владельца
• дата выдачи ssl сертификата
• дата окончания сертификата
• полное (уникальное) имя центра сертификации
• цифровая подпись издателя

Какие существуют виды SSL сертификатов шифрования

Основных видов сертификатов безопасности три:

• Domain Validation - DV > Это сертификат шифрования, который только подтверждает доменное имя ресурса
• Organization Validation - OV > Это сертификат шифрования, который подтверждает организацию и домен
• Extendet Validation - EV > Это сертификат шифрования, который имеет расширенную проверку

Назначение Domain Validation - DV

И так сертификаты шифрования, подтверждающие только домен ресурса, это самые распространенные в сети сертификаты, их делают всех быстрее, автоматически. Когда вам нужно проверить такой сертификат безопасности, отправляется email с гиперссылкой, кликая по которой подтверждается выпуск серта. Хочу отметить, что письмо вам отправят, только не подтвержденный email (approver email), указанный при заказе сертификата шифрования.

approver email так же имеет требования, логично, что если вы заказываете сертификаты шифрования для домена, то и электронный ящик должен быть из него, а не mail или rambler, либо он должен быть указан в whois домена и еще одно требование название approver email, должно быть по такому шаблону:

• webmaster@ваш домен
• postmaster@ваш домен
• hostmaster@ваш домен
• administrator@ваш домен
• admin@

Я обычно беру ящик postmaster@ваш домен

Сертификат tls-ssl подтверждающие доменное имя выпускаются, когда CA произвел валидацию того, что заказчик обладает правами на доменное имя, все остальное, что касается организации в сертификате не отображается.

Назначение Organization Validation - OV

Сертификаты шифрования tls-ssl, будет содержать название вашей организации, его получить частное лицо просто не сможет, его культурно пошлют регистрировать ИП. Делается он от 3 до десяти рабочих дней, все зависит от центра сертификации, который его будет выпускать.

Назначение Extendet Validation - EV

И так, вы направили CSR запрос на выпуск сертификата шифрования для вашей организации, CA начинает проверять, реально ли ИП рога и копыта существуют, как в CSR и принадлежит ли ей домен указанный в заказе.

• Могут посмотреть есть ли организация международных желтых страницах, кто не знает, что это такое, то это телефонные справочники в Америке. Проверяют так не все CA.
• Смотрят whois домена у вашей организации, делают это все центры сертификации, если в whois нет ни слова о вашей организации, то с вас будут требовать гарантийное письмо, что домен ваш.
• Свидетельство о государственной регистрации ЕГРИП или ЕГРЮЛ
• Могут проверить ваш номер телефона, запросив счет у вашей телефонной компании, в котором будет фигурировать номер.
• Могут позвонить и проверить наличие компании по этому номеру, попросят к телефону человека указанного администратором в заказе, так что смотрите, чтобы человек знал английский.

Сам сертификат шифрования extendet Validation - EV, самый дорогой и получается всех сложнее, у них кстати есть green bar, вы его точно видели, это когда на сайте в адресной строке посетитель видит зеленую стоку с названием организации. Вот пример клиент банка от сбербанка.

К расширенным сертификатам шифрования (extendet Validation - EV) самое большое доверие, это и логично вы сразу видите, что компания существует и прошла жесткие требования к выдаче сертификата. SSL cертификаты extendet Validatio делаются CA, только при выполнении двух требований, что организация владеет нужным доменом и, что она сама существует в природе. При выпуске EV SSL сертификатов, существует строгий регламент, в котором описаны требования перед выпуском EV сертификата

• Должен проверить правовую, физическую и операционную деятельности субъекта
• Проверка организации и ее документов
• Право владения доменом, организации
• Проверить, что организация полностью авторизована для выпуска EV сертификата

SSL cертификаты extendet Validatio выпускаются примерно от 10-14 дней, подходят как для некоммерческих организаций, так и для государственных учреждений.

Типы SSL сертификатов шифрования

Следующим важным вопросом, будет какие типы SSL - TLS сертификатов шифрования существуют, и их отличия и стоимость.

• Обычные SSL сертификаты > это самые распространенные сертификаты, делаются автоматически, для подтверждения только домена. Стоят в среднем 18-22 доллара.
• SGC сертификаты > это SSL - TLS сертификаты с поддержкой, более высокого уровня шифрования. Они в основном идут для старперных браузеров, у которых есть поддержка только 40-56 битное шифрование. SGC принудительно повышает уровень шифрования, до 128 бит, что в несколько раз выше. Так как XP доживает свои последние годы, скоро SGC сертификаты шифрования не будут нужны. Стоит это чудо около 300-ста баксов за год.
• Wildcard сертификаты > Требуются, для субдоменов вашего основного домена. Простой пример мой блог сайт, если я покупаю Wildcard, то имею возможно его вешать на все домены 4 уровня у себя, *.сайт. Стоимость Wildcard сертификатов шифрования варьируется от количества поддоменов, от 190 баксов.
• SAN сертификаты > Допустим у вас есть один сервер, но на нем хостятся много разных доменов, вот SAN сертификат можно повесить на сервер и все домены будут использовать его, стоит от 400 баксов в год.
• EV сертификаты > про расширенные мы уже все обсудили выше, стоят от 250 баксов в год.
• Сертификаты c поддержкой IDN доменов

список сертификатов, у которых есть такая поддержка, IDN доменов:

• Thawte SSL123 Certificate
• Thawte SSL Web Server
• Symantec Secure Site
• Thawte SGC SuperCerts
• Thawte SSL Web Server Wildcard
• Thawte SSL Web Server with EV
• Symantec Secure Site Pro
• Symantec Secure Site with EV
• Symantec Secure Site Pro with EV

Полезные утилиты:

1. OpenSSL - самая распространенная утилита для генерации открытого ключа (запроса на сертификат) и закрытого ключа.
   http://www.openssl.org/
2. CSR Decoder - утилита для проверки CSR и данных, которые в нем содержаться, рекомендую использовать перед заказом сертификата.
   http://www.sslshopper.com/csr-decoder.html или http://certlogik.com/decoder/
3. DigiCert Certificate Tester - утилита для проверки корректно самого сертификата
   http://www.digicert.com/help/?rid=011592
   http://www.sslshopper.com/ssl-checker.html

В будущих статьях, мы еще сами по настраиваем CA и будем на практике использовать SSL/TLS сертификаты шифрования.