Что делать, если сертификат сервера недействителен? SSL-сертификат: зачем нужен и где использовать.

Может кто-нибудь из вас сталкивался с окошком «сертификат сервера истек» во время веб-серфинга. Что делать в этом случае?

Итак, появление сообщения о том, что сертификат сервера истек, может быть вызвано следующими причинами:

  • Кривой работой веб-разработчика, который забыл вовремя продлить сертификат на установку защищенного соединения с использованием шифрования данных (по протоколу https). Но это маловероятно, хотя вполне может иметь место. Ведь веб-мастера отвечают за обновление срока действия сертификата своей зарплатой.
  • Настройками вашей ОС Windows, в частности системным временем (самая распространенная проблема!), либо антивируса.

Первый вариант мы рассматривать не будем, от нас там ничего не зависит – можем только попробовать нажать в появившемся окошке кнопку «добавить исключение» или «все равно войти». При невозможности – смиритесь и покиньте сервер. Но этот вариант – только если вы абсолютно уверены, что это проблема сервера, а не вашего ПК. Попросите кого-нибудь из знакомых зайти на тот же сервер. Если он смог это сделать и «сертификат сервера истек» у него не выдает – то ищем проблему с нашей стороны.


Что же делать в случае, если сообщения об истечении сертификата сервера уже начали Вас раздражать и истек уже не только сертификат, но и запас вашего терпения?

  1. Во-первых, необходимо проверить системное время, поскольку иногда, особенно после переустановки операционной системы оно может сбиться. Как это сделать? Самое простое - посмотрите на экран, снизу справа. Что там? Случаем не 2144 год, хотя еще и 2012 не истек? Возвращаем компьютер из будущего – и вот уже забываем что такое «сертификат сервера истек». Также настроить дату и время вы можете через меню «панель инструментов», которая появится при нажатии кнопки «Пуск».
  2. Также причина появления сообщения о том, что сертификат сервера истек, может быть вызвано антивирусной защитой, особенно если у вас установлен антивирус Avira. Что делать в этом случае? Попробуйте (временно! ) отключить антивирус и зайти на проверенный сайт, к примеру, на google. Сертификат сервера больше не беспокоит? Значит корень зла найден, смотрите настройки антивируса, особенное внимание уделите значению времени, либо переустанавливайте его, зачатую такие проблемы возникают, если антивирусная программа не лицензионная. Но если вы не являетесь опытным пользователем компьютера, делать что-либо с настройками антивируса – для вас потенциальный риск, поэтому лучше обратитесь к знающему приятелю или, в крайнем случае, в сервисный центр. В этом случае лучше заплатить специалисту, знающему что делать, чем оставить свою систему беззащитной.

Следующие процедуры демонстрируют, как можно организовать работу с сертификатами на сервере. Дополнительные сведения о сертификатах см. в разделе О сертификатах .

Важно! Очень важно обеспечить сохранность и защиту сертификата и пары ключей; всегда создавайте их резервные копии на дискете и храните эту дискету в безопасном месте.

Чтобы выпустить собственный сертификат сервера

Исследуя возможность выпуска собственных сертификатов сервера, следует рассмотреть следующие вопросы.

  • Ознакомьтесь с возможностями, предлагаемыми службой сертификации; службы сертификации Microsoft Certificate Services 2.0 поддерживают различные форматы сертификатов и имеют средства для аудита и регистрации событий, связанных с сертификатами.
  • Сравните стоимость выпуска собственных сертификатов и приобретения сертификата в службе сертификации.
  • Организации может потребоваться некоторое время, чтобы изучить, реализовать и интегрировать службы сертификации с существующими системами и политиками безопасности.
  1. Используйте службы сертификации для создания настраиваемой службы выпуска сертификатов и управления ими. Серверные сертификаты можно создавать для Интернета или корпоративных интрасетей, что позволяет установить в организации полный контроль над политиками управления сертификатами. Дополнительные сведения см. в документации по службам сертификации Microsoft.
  2. Для получения и установки сертификата сервера используйте .

Примечания

  • Интерактивные запросы на серверные сертификаты можно выполнять только к службам сертификации организации. Мастер сертификатов веб-сервера IIS не распознает изолированную службу сертификации, работающую на том же компьютере. Используйте автономный запрос на сертификат для сохранения сертификата в файле и его автономной обработки (см. документацию по службам сертификации). Интерактивные запросы с использованием локальных служб сертификации организации при этом не затрагиваются.
  • При открытии сертификата SGC, на вкладке Общие может возникнуть сообщение "Этот сертификат не удалось проверить для всех указанных для него целей применения." Это сообщение обусловлено способом, которым сертификаты SGC взаимодействуют с Windows 2000, и не обязательно свидетельствует о том, что сертификат работает неправильно.
Чтобы получить сертификат сервера в службе сертификации

Примечание. Если заменяется текущий сертификат сервера, IIS будет продолжать использовать его до тех пор, пока новый запрос не будет полностью обработан.

  1. Найдите службу сертификации, предлагающую услуги, которые отвечают требованиям вашей организации, и запросите сертификат сервера.

    2. При выборе службы сертификации необходимо рассмотреть следующие вопросы:

  • Сможет ли служба сертификации выдать вам сертификат, совместимый со всеми обозревателями, с помощью которых пользователи обращаются к вашему серверу?
  • Является ли служба сертификации известной организацией, которой можно доверять?
  • Каким образом служба сертификации обеспечивает подтверждение вашей подлинности?
  • Имеет ли эта служба систему интерактивного приема запросов на сертификаты, например запросов, созданных с помощью мастера сертификатов веб-сервера?
  • Сколько будет стоить сам сертификат, а также его последующие обновления и другие услуги?
  • Имеет ли служба сертификации опыт в области деловых интересов вашей компании?

Список сертификационных служб, поддерживающих Internet Information Services, находится на веб-узле Microsoft Security по адресу . В списке By Category выберите строку Certificate Authority Services .

  • С помощью мастера сертификатов веб-сервера создайте запрос на сертификат, который можно отправить службе сертификации.
  • Отправьте запрос службе сертификации. Она обработает его и выдаст вам сертификат.

    • Примечание. Некоторые службы сертификации требуют подтверждения вашей подлинности перед обработкой запроса или выдачей сертификата.

  • Для установки сертификата используйте мастер сертификатов веб-сервера .

    • Создание резервной копии сертификата сервера и закрытого ключа

    Примечание. В предыдущей версии IIS для создания резервных копий сертификатов сервера использовалась программа Key Manager. В настоящей версии программу Key Manager заменяет мастер сертификатов веб-сервера. Так как IIS тесно связан с Windows, для экспорта и создания резервных копий сертификатов сервера можно использовать диспетчер сертификатов.

    Чтобы создать резервную копию сертификата сервера
    Чтобы добавить диспетчер сертификатов в MMC

    Примечание. Если диспетчер сертификатов уже установлен в консоли MMC, он будет указывать на хранилище сертификатов «Локальный компьютер».

    1. Откройте консоль MMC и выберите команду Добавить/удалить оснастку в меню «Консоль».
    2. Нажмите кнопку Добавить .
    3. Выберите в списке строку Сертификаты .
    4. Нажмите кнопку Добавить .
    5. Выберите переключатель учетной записи компьютера .
    6. Выберите переключатель локальным компьютером (тем, на котором выполняется эта консоль) .
    7. Нажмите кнопку Готово .

    В данном разделе представлены ответы на наиболее популярные вопросы, возникающие у клиентов компании и посетителей сайта.

    SSL — что это такое?

    Аббревиатура расшифровывается как Secure Sockets Layer, что по-английски означает «уровень защищенных сокетов». В данном случае речь идет о криптографическом протоколе, который был разработан в 1996 году специалистами компании Netscape. Он обеспечивает передачу конфиденциальных сведений, которая осуществляется между клиентом и пользователем по безопасному каналу. В настоящее время SSL-протокол является наиболее востребованным способом защиты данных, передаваемых через Интернет. При использовании этой технологии клиент и сервер еще до начала сеанса связи определяют оптимальный алгоритм шифрования и общие ключи. Она поддерживается всеми современными интернет-обозревателями и операционными системами, относится к числу промышленных стандартов и задействуется миллионами веб-ресурсов для обеспечения безопасной работы пользователей Интернета. Для применения технологии на сервере должен быть установлен соответствующий SSL сертификат.

    Что такое SSL сертификат?

    Это - цифровой документ, подтверждающий надежность и конфиденциальность данных, передаваемых между сервером и клиентом. Его наличие способствует повышению уровня защиты информации. В свою очередь, это положительно скажется на имидже предприятия.

    Сертификат выдается на конкретное доменное имя, включает все необходимые сведения о владельце веб-ресурса и центре сертификации, ответственном за его выдачу. Что касается информационного содержания сертификата, то оно определяется его типом. Всю эту информацию можно просмотреть в информации о сертификате, кликнув на значок замка или сокращение https в адресной строке браузера:

    Для чего нужен SSL сертификат?

    Исходя из того, что такое , его наличие гарантирует:

    • подлинность передаваемой информации. Обмен данными клиент осуществляет именно с тем доменом, который действительно принадлежит указанному предприятию;
    • конфиденциальность. Вероятность перехвата информации исключена;
    • целостность сведений. Данные передаются в полном объеме, их изменение в процессе передачи невозможно.

    Знать, что такое SSL сертификат, и иметь его должны владельцы веб-ресурсов, непосредственно работающие с конфиденциальной информацией. Обычно это - пароли, паспортные данные, пин-коды, номера телефонов и кредитных карт и т. п. Передача подобных данных по незащищенным каналам связи делает их крайне уязвимыми: высока вероятность перехвата таких сведений злоумышленниками, которые используют их для достижения корыстных целей. В связи с этим необходимо обезопасить себя и своих клиентов от подобных рисков. В любом случае веб-ресурс, защищенный SSL сертификатом, вызывает значительно больше доверия у пользователей.

    Как правильно выбрать сертификат SSL?

    Существует несколько типов SSL сертификатов. Общая классификация представлена на изображении ниже:


    Так, продукты, что обеспечивают исключительно шифрование данных (без подтверждения бизнес-статуса), называются (c проверкой домена). Они относятся к начальному уровню, в связи с чем отличаются выгодной ценой и скоростью выпуска. Приобретать их могут частные лица и организации, при этом не требуется представление никаких документов.

    Следующий тип сертификатов - (c проверкой организации) - рекомендуется для применения небольшими онлайн-магазинами и прочими коммерческими веб-ресурсами с целью подтверждения того, что информация передается в том виде и объеме, в котором она была отправлена, и обеспечения безопасности совершаемых денежных транзакций. Наличие Organization Validation SSL гарантирует надежность и полную легитимность деятельности компании, при этом подтверждая ее бизнес-статус. Такие сертификаты приобретаются только юридическими лицами после предоставления необходимых сведений о предприятии.

    Крупным финансовым структурам рекомендуется приобретать - SSL сертификаты расширенной проверки. Это - самый надежный тип, выдаваемый только юридическим лицам и лишь после углубленной проверки легальности их деятельности. Их особенность заключается в наличии специальных индикаторов - зеленой адресной строки и названия организации в ней.

    Для защиты конфиденциальной информации сразу нескольких разделов сайта хорошим вариантом являются SSL - сертификаты с поддержкой поддоменов. С их помощью обеспечивается безопасность требуемого количества субдоменов третьего уровня, они доступны для приобретения частными лицами и организациями.

    Обеспечить эффективную защиту сразу нескольких доменных имен и поддоменов можно с помощью Multidomain или - мультидоменных сертификатов. Это избавляет от необходимости приобретения нескольких одиночных продуктов, вместо них можно купить один общий. Это выгодно по деньгам и времени, такие сертификаты доступны частным и юридическим лицам.

    Что такое SSL сертификат для IP-адреса и как его получить?

    Он был доступен ранее, однако с ноября 2014 года центры сертификации прекратили выпуск сертификатов SSL для IP-адресов.

    Каким образом можно получить сертификат SSL для локального домена?

    К сожалению, в настоящее время такой возможности нет. С 2014 года центры сертификации прекратили выдачу SSL сертификатов для локальных доменов. Теперь для получения SSL сертификата необходимо перевести Ваше доменное имя в FQDN-домен (например, billing.local теперь должен выглядеть как billing.domain.ru).

    Это также касается почтовых серверов.

    Что необходимо для получения сертификата SSL ?

    Порядок действий зависит от специфики ситуации. Во всех случаях необходимо:

    1. выбрать подходящий тип и оформить заказ;
    2. сформировать CSR запрос на получение сертификата (подробнее о нем рассказывается ниже) и ввести технические данные домена;

    SSL-сертификат (от англ. Secure Sockets Layer — уровень защищённых сокетов) - это протокол для кодировки данных, которые идут от пользователя к серверу и обратно.

    Как SSL-сертификат работает?

    На сервере есть ключ, с помощью которого шифруются любые данные, которыми он обменивается с пользователем. Браузер пользователя получает уникальный ключ (который известен только ему) и таким образом складывается ситуация, когда расшифровать информацию может только сервер и пользователь. Хакер конечно может перехватить данные, но расшифровать их практически невозможно.

    Зачем SSL-сертификат владельцу сайта?

    Если ваш сайт подразумевает регистрацию для пользователей, онлайн-покупки и т.д., то SSL-сертификат будет хорошим сигналом для пользователя, что вашему сайту можно доверять. Сегодня многие пользователи не знают об этом, и без раздумий передают данные своих кредиток на различных сайтах. Но в будущем таких людей будет становиться все меньше и меньше, т.к. после первой же пропажи денег с карточки человек сразу задумывается "а что нужно делать, чтобы деньги не пропадали?", "каким сайтам можно доверять?". В итоге о безопасном соединение, говорит наличие протокола https:// в адресе сайта или такой вид адресной строки в браузере.

    Как получить SSL-сертификат?

    SSL-сертификаты выдают специальные сертификационные центры, наиболее популярными в мире считаются Thawte , Comodo , Symantec . Но все они имеют англоязычный интерфейс, что создает определенные неудобства для отечественных пользователей. Поэтому сейчас появилось очень много компаний, которые являются посредниками и продают SSL-сертификаты. Это же делают и крупные хостинг-компании, и регистраторы доменов. Мы рекомендуем покупать сертификаты именно у качественных хостеров или регистраторов доменов. А еще лучше, покупать их у той компании, у которой вы регистрировали свой домен. Как правило эти компании сотрудничают с сертификационными центрами, и за счет объема имеют существенную скидку. Поэтому итоговая цена для вас скорее всего не будет меняться.

    Какие бывают SSL-сертификаты?

    Начальный уровень

    Как правило такие сертификаты покупают в том случае, если не нужно подтверждать компанию (или компании вовсе нет, а сайт принадлежит частному лицу), а нужно лишь безопасное соединение.

    • Самые дешевые
    • Срок выдачи: несколько часов
    • Подтверждают права на домен, и не подтверждают компанию
    • Для юридических, физических и частных лиц
    • Не нужны какие-либо документы

    Средний уровень

    Такие сертификаты уже могут подтвердить компанию владельца домена, что вызывает больше доверия у посетителей сайта. Ведь документы компании проверяет аттестационный центр, что должно вызывать максимальное доверие пользователей. При этом адрес сайта в браузере подсвечивается зеленым цветом.

    • Средняя стоимость
    • Срок выдачи: в течении недели
    • Подтверждают компанию, которая владеет доменом
    • Только для юридических лиц
    • Требуются документы, подтверждающие вашу компанию и ее адрес

    высокий уровень

    Данные сертификаты имеют все показатели Среднего уровня, но цена их дороже, за счет маркетинговой игры центров аттестации. Так например вы сможете их использовать не только на основном домене, но и на поддоменах (например forum.mysite.com и т.д.), или пользователи с устаревшими браузерами смогут использовать защищенное соединение. Также от уровня сертификата зависит максимальный срок регистрации сертификата. Как правило он составляет 1-4 года от даты выдачи.

    Сколько стоит SSL-сертификат?

    Цена находится в рамках от 30 до 1200 долларов США в год. Но есть и бесплатные варианты, в виде бесплатные варианты , хотя их использование не совсем удобно.

    Что нужно чтобы получить?

    Для сертификатов низкого уровня

    • e-mail (обязательно чтобы он принадлежал вашему сайту, например для сайта mysite.com имейл может быть [email protected]
    • Имя или организация
    • Адрес

    Для сертификатов более высокого уровня

    Здесь проводиться проверка организации, поэтому к тому, что перечислено выше вам придется добавить:

    • Телефон
    • Документы подтверждающие организацию (номер регистрации компании или подобные документы). В целом для каждой страны перечень
    • документов разный, но будьте готовы к серьезной проверке, в плоть до того, что придется высылать копию договора о предоставлении услуг связи, чтобы подтвердить телефон. Отправка скан-копий документов возможно по факсу и электронной почте.

    Также для получения SSL-сертификата у домена должен быть отключен WHOIS-Protect (скрытие данных о домене). На сегодня это правило не действует лишь на домены.ru и.рф. И еще, обязательной является генерация CSR.

    Что такое CSR?

    CSR (Certificate Signing Request) - это зашифрованный запрос, который нужно приложить к заявке отправляемой в центр сертификации. Этот запрос нужно сгенерировать на сервере, на котором расположен ваш сайт. Процесс генерации CSR зависит от сервера, а точнее от программного обеспечения, которое на нем установлено. Если покупать сертификат через хостинг-компанию у которой расположен ваш сайт, то скорее всего вам будет представлен удобный интерфейс для генерации CSR. Если же его нет, то мы расскажем как это сделать для наиболее распространенного серверного софта (Linux\Apache).

    Как генерировать CSR?

    1. Подключаетесь к серверу через SSH-соединение

    Используем программу PuTTY . В командной строке вводите:

    openssl genrsa -out myprivate.key 2048

    Тем самым мы генерируем закрытый приватный ключ для CSR. При этом будет задано два вопроса "Enter pass phrase for private.key" и "Verifying - Enter pass phrase for myprivate.key" - это просьба два раза ввести пароль для ключа. Важно чтобы вы его запомнили, т.к. понадобится на следующем шаге. В результате будет сгенерирован файл myprivate.key.

    2. Генерируем CSR

    Вводим команду:

    openssl req -new -key myprivate.key -out domain-name.csr

    Только меняйте domain-name на имя вашего домена. Потом в ответ на вопрос "Enter pass phrase for myprivate.key" вводим пароль, который мы задавали на предыдущем шаге.

    После этого только английскими буквами заполняем:

    Country Name - Код страны в формате ISO-3166 (нам нужен двухбуквенный код, берем его из колонки Alpha-2);
    State or Province Name: Область или регион\штат;
    Locality Name: Город;
    Organization Name: Организация;
    Organizational Unit Name: Подразделение (необязательное заполнять);
    Common Name: доменное имя;
    Email Address: ваш E-mail (необязательное поле);
    A challenge password: (не нужно заполнять);
    An optional company name: Другое название организации (не нужно заполнять).

    Все данные которые вносятся должны быть правдивыми и совпадать с теми, которые вы заполняли при регистрации домена (проверить их можно через WHOIS-сервисы). В результате этих операций, на сервере будет создан файл domain-name.csr. Его нужно сохранить, и потом приложить к заявке на получение SSL-сертификата, которая подается в центр сертификации.

    Что делать, после получения SSL-сертификата?

    После получения сертификата его нужно установить на сервер. Процесс установки достаточно простой, но очень отличается в зависимости от программного обеспечения сервера. Поэтому поищите инструкцию на сайте хостинг-провайдера, а еще лучше - обратитесь в техническую поддержку, чтобы правильно все настроить.

    Что делать если изменились данные организации или поменялся хостинг?

    В таких случаях нужно переиздавать SSL-сертификат, но при этом это должно делать бесплатно для вас.

    Главное
    Расчёт погрешностей косвенных измерений
    Расчёт погрешностей косвенных измерений
    К чему снится укус кошки?
    К чему снится укус кошки?
    Последовательность приготовления колбасы
    Последовательность приготовления колбасы
    Что такое кбк в платежке
    Что такое кбк в платежке
    Примеры модифицированных аудиторских заключений Заключение аудиторской проверки пример
    Примеры модифицированных аудиторских заключений Заключение аудиторской проверки пример