Обеспечение безопасности с помощью SSL

Использование существующего ключа и сертификата

SSL (Secure Sockets Layer protocol) - это стандартный протокол для передачи через Интернет конфиденциальных данных, например, номеров кредитных карточек. Большинство коммерческих сайтов поддерживают эту функцию, которая обеспечивает большую безопасность данных, передаваемых через Всемирную сеть. SSL - это минимальный стандартный уровень защиты коммерческой информации в Интернете. Действие SSL основано на использовании секретного ключа для шифровки данных, передаваемых с помощью SSL-соединения. Подробнее о SSL и принципах его работы - на странице http://www.modssl.org/docs/2.8/index.html

Для SSL необходим выделенный IP-адрес, поскольку хостинг, основанный на имени, не поддерживает функцию шифровки данных в HTTP-запросах.

Чтобы разрешить SSL:

1. Выберите Domain info в меню Domain Settings.
2. Нажмите на иконку Edit в поле Web Service.
3. Разрешите SSL для домена из списка.
4. Согласитесь с начислением оплаты, если таковая предусмотрена.
5. В появившихся окнах введите секретный ключ сервера SSL (SSL Server Private Key ) и сертификат SSL (SSL Certificate):

   

6. В поле Site Name  выберите, хотите ли вы, чтобы сертификат безопасности был применим к доменному имени с префиксом www или без. Только одна из опций будет работать правильно. Например, если вы выберете безопасность для http://www.domain.com, то при переходе на http://domain.com посетители будут получать уведомление о безопасном соединении.
7. Нажмите Submit. Теперь ваш сайт защищен.

Создание временного сертификата

Единственная разница между временными и постоянными сертификатами заключается в том, что временные сертификаты генерируются Панелью управления и не подтверждены официальной инстанцией. При входе посетителей на сайт появляется уведомление "unknown certification authority".

Для создания временного секретного ключа и сертификата SSL:

1. Выберите Domain info в меню Domain Settings.
2. Нажмите на иконку Edit в поле Web Service.
3. Разрешите SSL для домена из списка.
4. Согласитесь с начислением оплаты, если таковая предусмотрена.
5. Нажмите на ссылку вверху появившейся формы.
   
   

   

6. На появившейся странице подтвердите подробные данные, нажав на кнопку Submit:

   

   Эти данные необходимы для создания сертификата. Если нет особой необходимости, не вносите в них никаких изменений.
7. Следуйте указаниям, которые появляются вверху следующей страницы.

   

   • Запрос на подписание сертификата SSL (SSL Certificate Signing request) содержит подробности, которые вы указали на предыдущем этапе. Используется, если вы хотите получить от официальной инстанции постоянный сертификат SSL, например Thawte или VeriSign  (см.ниже).
   • Секретный ключ сервера SSL (SSL Server Private Key) - это секретный ключ для расшифровки сообщений посетителей. Он должен храниться в безопасном, недоступном для посторонних месте. Наличие ключа обязательно для получения постоянного сертификата.
   • Временный сертификат SSL (Temporary SSL Certificate) удостоверяет вашу идентичность и подтверждает общий ключ. Таким образом посетители могут быть уверены, что они соединяются с вашим сервером, а не с каким-либо другим.
     
     8. Нажмите Submit Query.

Получение постоянного сертификата

Для того, чтобы получить постоянный сертификат:

1. Создайте временный сертификат SSL (см.выше).
2. Скопируйте запрос на подписание сертификата (CSR) и секретный ключ.
3. Перейдите на сайт Thawte, VeriSign или другой официальной инстанции и выберите опцию получения нового сертификата. По требованию введите запрос CSR, который вы сохранили ранее.
4. После получения постоянного сертификата SSL его следует хранить в безопасном месте.
5. Выберите Domain info в меню Domain Settings.
6. Перейдите на страницу Web Service и нажмите на иконку Edit в поле SSL.
7. Введите сертификат в верхнее поле появившейся формы ("Сертификат инсталляции на основе ранее созданного запроса"):
   

8. Введите свой сертификат.

   

   Для COMODO.NET введите корневой цепочный сертификат (Certificate Chain File):





9. Нажмите Install.
10. Теперь вы можете использовать сертификат вместе с ранее сохраненным секретным ключом.

Продление срока действия постоянного сертификата

Если срок вашего сертификата истекает и вы хотите его продлить:

1. Отыщите запрос на подписание (CSR), который вы сохранили при получении имеющегося сертификата.  
2. Перейдите на сайт официальной инстанции и выберите опцию продления срока действия сертификата. Введите CSR по требованию.
3. После получения постоянного сертификата SSL храните его в безопасном месте.
4. Выберите Domain info в меню Domain Settings.
5. Перейдите на страницу Web Service и нажмите на иконку Edit после SSL Support.
6. Введите соответствующий сертификат в окно открывшейся формы:

   

7. Нажмите Upload.
8. Теперь вы можете использовать сертификат вместе с ранее сохраненным секретным ключом.

Использование SSL-сертификата вашего провайдера (общий SSL)

Если ваш провайдер предлагает общий SSL-сертификат, вы можете использовать его вместо приобретения своего собственного. В отличие от постоянного сертификата SSL, он стоит дешевле и не требует выделенного IP-адреса, но при этом имеет такую же силу. Недостаток общего SSL-сертификата состоит в том, что он может использоваться только с доменами третьего уровня.

Использование общего SSL возможно только в том случае, если ваш сайт работает под общим IP-адресом.

Для обеспечения безопасности сайта с помощью общего SSL:

1. Выберите Domain info в меню Domain Settings.
2. Нажмите на иконку Edit  в поле Web Service.
3. Разрешите общий SSL для домена из списка.
4. Согласитесь с начислением оплаты, если таковая предусмотрена.
5. Если вы используете домен второго уровня (example.com), вам будет предложено создать алиас домена третьего уровня (например, domainalias.example.com):

   

Теперь сайт доступен под незащищенным доменным именем второго уровня (например: http://example.com) и защищенным доменным алиасом третьего уровня (например: https://example.victor.psoft). Обратите внимание, что общий  SSL-сертификат взаимодействует только с одним доменным уровнем, т.е. работает с user1.example.com и не работает с www.user1.example.com. В вышеприведенном случае сертификат не будет работать с www.example.victor.psoft, а ваши посетители получат уведомление: "Имя в сертификате безопасности не соответствует имени сайта".

Примечание: при разработке страниц внутренние ссылки на изображения или фреймы могут выглядеть как <a href='/images/example.jpg'>. Если вы используете ссылку <a href='http://...'>, посетители получат сообщение: "Страница содержит как безопасные, так и опасные элементы". Это одна из немногих проблем, связанных с защитой. Посетители могут просто выбрать опцию  "Не показывать опасные элементы", но при этом не будет видна графика.