Забезпечення безпеки за допомогою SSL

Використання існуючого ключа та сертифіката

SSL (Secure Sockets Layer protocol) - це стандартний протокол для передачі через Інтернет конфіденційних даних, наприклад, номерів кредитних карток. Більшість комерційних сайтів підтримують цю функцію, яка забезпечує більшу безпеку даних, що передаються через Всесвітню мережу. SSL - це мінімальний стандартний рівень захисту комерційної інформації в Інтернеті. Дія SSL заснована на використанні секретного ключа для шифрування даних, що передаються за допомогою SSL-з'єднання. Докладніше про SSL і принципи його роботи - на сторінці http://www.modssl.org/docs/2.8/index.html

Для SSL необхідна виділена IP-адреса, оскільки хостинг, заснований на імені, не підтримує функцію шифрування даних в HTTP-запитах.

Щоб дозволити SSL:

1. Виберіть Domain info в меню Domain Settings.
2. Натисніть на іконку Edit в полі Web Service.
3. Дозвольте SSL для домену зі списку.
4. Погодьтеся з нарахуванням оплати, якщо така передбачена.
5. У вікнах, що з'явилися, введіть секретний ключ сервера SSL (SSL Server Private Key ) і сертифікат SSL (SSL Certificate):

   

6. В полі Site Name  виберіть, чи хочете ви, щоб сертифікат безпеки було застосовано до доменного імені з префіксом www або без. Тільки одна з опцій буде працювати правильно. Наприклад, якщо ви оберете безпеку для http://www.domain.com, то при переході на http://domain.com відвідувачі будуть отримувати повідомлення про безпечне з'єднання.
7. Натисніть Submit. Тепер ваш сайт захищено.

Створення тимчасового сертифіката

Єдина різниця між тимчасовими та постійними сертифікатами полягає в тому, що тимчасові сертифікати генеруються Панеллю керування і не підтверджені офіційною інстанцією. При вході відвідувачів на сайт з'являється повідомлення "unknown certification authority".

Для створення тимчасового секретного ключа та сертифіката SSL:

1. Виберіть Domain info в меню Domain Settings.
2. Натисніть на іконку Edit в полі Web Service.
3. Дозвольте SSL для домену зі списку.
4. Погодьтеся з нарахуванням оплати, якщо така предбачена.
5. Натисніть на посилання вгорі форми, що з'явилася.
   

   

6. На сторінці, що з'явилася, підтвердіть детальні дані, натиснувши на кнопку Submit:

   

   Ці дані необхідні для створення сертифіката. Якщо немає особливої необхідності, не вносьте в них жодних змін.
7. Дотримуйтесь вказівок, що з'вляються вгорі наступної сторінки.

   

   • Запит на підписання сертифіката SSL (SSL Certificate Signing request) містить подробиці, які ви вказали на попередньому етапі. Застосовується, якщо ви хочете отримати від офіційної інстанції постійний сертифікат SSL, наприклад Thawte або VeriSign  (див.нижче).
   • Секретний ключ сервера SSL (SSL Server Private Key) - це секретний ключ для розшифровки повідомлень відвідувачів. Він повинен зберігатися в безпечному, недоступному для сторонніх місці. Наявність ключа обов'язкова для отримання постійного сертифіката.
   • Тимчасовий сертифікат SSL (Temporary SSL Certificate) засвідчує вашу ідентичність і підтверджує загальний ключ. Таким чином відвідувачі можуть бути впевнені, що вони з'єднуються з вашим сервером, а не з будь-яким іншим.
     
     8. Натисніть Submit Query.

Отримання постійного сертифіката

Для того, щоб отримати постійний сертифікат:

1. Створіть тимчасовий сертифікат SSL (див.вище).
2. Скопіюйте запит на підписання сертифіката (CSR) та секретний ключ.
3. Перейдіть на сайт Thawte, VeriSign або іншої офіційної інстанції і виберіть опцію отримання нового сертифіката. За вимогою введіть запит CSR, який ви зберегли раніше.
4. Після отримання постійного сертифіката SSL його слід зберігати в безпечному місці.
5. Виберіть Domain info в меню Domain Settings.
6. Перейдіть на сторінку Web Service і натисніть на іконку Edit в полі SSL.
7. Введіть сертифікат у верхнє поле форми, що з'явилася ("Сертифікат інсталяції на основі раніше створеного запиту"):
   

   

8. Введіть свій сертифікат:

   

   Для COMODO.NET введіть кореневий ланцюговий сертифікат (Certificate Chain File):



9. Натисніть Install.
10. Тепер ви можете використовувати сертифікат разом із раніше збереженим секретним ключем.

Продовження терміну дії постійного сертифіката

Якщо термін вашого сертифіката збігає і ви хочете його продовжити:

1. Відшукайте запит на підписання (CSR), який ви зберегли при отриманні наявного сертифіката.  
2. Перейдіть на сайт офіційної інстанції і виберіть опцію продовження терміну дії сертифіката. Введіть CSR за вимогою.
3. Після отримання постійного сертифіката SSL зберігайте його в безпечному місці.
4. Виберіть Domain info в меню Domain Settings.
5. Перейдіть на сторінку Web Service і натисніть на іконку Edit після SSL Support.
6. Введіть відповідний сертифікат у вікно форми, що відкрилася:

   

7. Натисніть Upload.
8. Тепер ви можете використовувати сертифікат разом з раніше збереженим секретним ключем.

Використання SSL-сертифіката вашого провайдера (загальний SSL)

Якщо ваш провайдер пропонує загальний SSL-сертифікат, ви можете використовувати його замість придбання свого власного. На відміну від постійного сертифіката SSL, він коштує дешевше і не потребує виділеної IP-адреси, але при цьому має таку ж силу. Недолік загального SSL-сертифіката полягає в тому, що він може застосовуватися тільки з доменами третього рівня.

Використання загального SSL можливе лише в тому випадку, якщо ваш сайт працює під загальною IP-адресою.

Для забезпечення безпеки сайту за допомогою загального SSL:

1. Виберіть Domain info в меню Domain Settings.
2. Натисніть на іконку Edit  в полі Web Service.
3. Дозвольте загальний SSL для домену зі списку.
4. Погодьтеся з нарахуванням оплати, якщо така передбачена.
5. Якщо ви використовуєте домен другого рівня (example.com), вам буде запропоновано створити аліас домену третього рівня (наприклад, domainalias.example.com):

   

Тепер сайт доступний під незахищеним доменним іменем другого рівня (наприклад, http://example.com) і захищеним доменним аліасом третього рівня (наприклад, https://example.victor.psoft). Зверніть увагу, що загальний  SSL-сертифікат взаємодіє тільки з одним доменним рівнем, тобто працює з user1.example.com і не працює з www.user1.example.com. У вищенаведеному випадку сертифікат не буде працювати з www.example.victor.psoft, а ваші відвідувачі отримають повідомлення: "Ім'я в сертифікаті безпеки не відповідає імені сайту".

Примітка: при розробці сторінок внутрішні посилання на зображення або фрейми можуть виглядати як  <a href='/images/example.jpg'>. Якщо ви використовуєте посилання  <a href='http://..'.>, відвідувачі отримають повідомлення: "Сторінка містить як безпечні, так і небезпечні елементи". Це одна з небагатьох проблем, пов'язаних із захистом. Відвідувачі можуть просто вибрати опцію  "Не показувати небезпечні елементи", але при цьому не буде видно графіки.