Легко выбрать

Мы собрали самые востребованные SSL сертификаты и создали удобный сервис сравнения по 20 параметрам, чтобы выбирать подходящий сертификат стало еще удобнее.

Подробнее о выборе сертификата >>

  Выгодная покупка SSL по подписке

Подписка сроком до 5 лет поможет сэкономить ваши деньги и время. Чем ольше срок подписки, тем выгоднее цена сертификата

Подробнее о подписке >>

  Быстро получить и активировать

Получить сертификат можно всего за 5 минут, а подробные инструкции помогут сэкономить время при его активации и установке.

Посмотреть инструкции >>

  Поможем бесплатно 24/7
Возникли вопросы с установкой или перевыпуском сертификата? Специалисты технической поддержки помогут бесплатно в любое время суток!
Обратиться в техподдержку >>

  Гарантируем безопасность
Сотрудничаем с проверенными центрами сертификации: Sectigo (Comodo), Thawte, Digisert, GeoTrust и RapidSSL. Если злоумышленники смогут взломать шифр вашего сертификата, то вашим клиентам компенсируют убытки по гарантии.
Что такое гарантия? >>

1. Выберите сертификат, период его действия и нажмите кнопку заказа. Для продолжения заказа система перенаправит вас в личный кабинет BILLmanager. Пройдите авторизацию/регистрацию.
2. Сгенерируйте запрос на получение сертификата (CSR\Certificate Signing Request) заполнив требуемые поля согласно рекомендациям. Вы также можете воспользоваться имеющимся CSR, сгенерированным самостоятельно.

3. Сохраните секретный ключ сертификата в безопасном месте.
4. Укажите данные контактных лиц для административных (оплата, заказ и т.п.) и технических вопросов (отправка самого сертификат, установка).
5. Заполните информацию об организации, согласно учредительным документам, используя подсказки.
6. Выберите адрес проверочного Email,  на который будет отправлено письмо для подтверждения.
7. Сертификационные центры отправляют подтверждающие письма только на адреса определенных видов, поэтому в случае необходимости создайте требуемый адрес.
8. Нажав «Оплатить», вы будете перенаправлены системой в раздел «Финансы / Платежи». Произведите оплату удобным для вас способом согласно стоимости выбранного сертификата и периода его действия.

9. Подтверждение владения доменом

   Перед отправкой запроса на получение сертификата предварительно проверьте, чтобы Whois-сервисы по домену, для которого вы получаете сертификат, отображали полное наименование и контактные данные организации, и чтобы они совпадали с отправленными в CSR. При этом сервис Private Person, скрывающий персональные данные, должен быть отключен.

   В редких случаях сертификационный центр может запросить Свидетельство о регистрации домена.  Для его получения обратитесь к регистратору вашего домена.

10. Проверка организации
    1. Проверка документов

       На проверочный e-mail придет письмо с дальнейшими инструкциями и запросом копий документов организации (для большинства компаний достаточно выписки из ЕГРЮЛ и свидетельства о постановке на учет в налоговом органе).

    2. Проверка по телефону

       Телефонный номер и адрес компании должен содержаться в общедоступных телефонных справочниках (yp.ru, yell.ru, telkniga.info, nomer.org). В противном случае от вас может потребоваться отправить в сертификационный центр скан-копию счета за услуги связи или коммунальные услуги, в которых будут содержится телефонный номер, адрес, и название вашей организации.

       Внимание! Убедитесь, что сотрудник, указанный в качестве административного контакта при формировании CSR, проинформирован об этом, а также знает название заказанного сертификата и доменное имя, которое он будет защищать.

    3. Проверка из открытых источников Sectigo

       Сертификационный центр Sectigo (Comodo) поменял свою политику проверки организации, данные о компаниях из России сравниваются только с двумя источниками: https://egrul.nalog.ru/ и/или https://www.upik.de/en/. Перед заказом SSL-сертификата Sectigo с проверкой организации, пожалуйста, убедитесь в том, что ваша компания официально зарегистрирована и находится в реестре федеральной налоговой службы.

11. После успешного прохождения проверки сертификационный центр подпишет и отправит SSL сертификат на Email для технических вопросов. Вам останется только установить его к себе на сервер.

После того, как вам выпустили SSL-сертификат, его необходимо установить на сайт. Для этого понадобятся файлы сертификата и доступ на сервер. В инструкции разберёмся, где их взять.

Где взять файлы сертификатов

Для установки SSL-сертификата потребуются специальные файлы.

• Секретный ключ генерируется при создании запроса на выпуск сертификата.
• Сертификат и цепочка сертификатов высылаются на почту, которую указали в качестве технического контакта. Также они доступны в Личном кабинете FirstSSL.

Чтобы скачать файлы в Личном кабинете, перейдите в раздел Товары — SSL-сертификаты. Кликните по приобретенному сертификату и нажмите «Просмотр»:

Внизу доступны файлы: секретный ключ, сертификат, запрос на сертификат.

Для установки понадобятся первые два: секретный ключ и сертификат.

Запрос на сертификат на этапе установки не нужен — он используется для продления услуги.

Важно: автоматическое продление сертификата позволяет только своевременно запустить выпуск нового сертификата. Чтобы новый сертификат начал действовать, потребуется подтвердить выпуск и установить его на сервер вручную, заменив старый. Поэтому даже при использовании автоматического продления рекомендуем вам регулярно следить за уведомлениями: при успешном продлении на почту, указанную при заказе сертификата, придёт письмо с инструкциями.

Секретный ключ

Секретный ключ — это файл с расширением .key. Иногда секретный ключ отсутствует в Личном кабинете. Это может произойти, если при создании запроса на сертификат вы выбрали настройку «Не сохранять ключ». Если у вас нет ключа, сертификат необходимо перевыпустить.

Секретный ключ, открытый в текстовом редакторе, представляет собой набор символов. Они заключены между пометками «Begin RSA private key» — (начало ключа) и «End RSA private key» (конец ключа). Секретный ключ используется для расшифровки данных, поступающих на сервер, поэтому не передавайте его посторонним.

Сертификат

Файл «сертификат», скачанный из личного кабинета, представляет собой архив zip. Распакуйте его. Внутри вы найдёте ещё два файла: сертификат и цепочку сертификатов.

Сертификат — это файл с расширением .crt. Он же является публичным ключом.

Внутри содержится заголовок «Begin certificate» — начало сертификата, тело сертификата и отметку «End certificate» — конец сертификата:

Цепочка сертификатов

Цепочка сертификатов — файл с расширением .ca-bundle

В текстовом редакторе цепочка сертификатов выглядит как набор символов. Начало и конец помечены «Begin certificate» и «End certificate».

Цепочка для сертификата от сертификационного центра GlobalSign

После выпуска сертификата от GlobalSign вы получаете архив с 4 файлами ключей: 

• Файл с расширением .p7b содержит сертификат и цепочку сертификата. P7B формат поддерживается такими платформами, как Microsoft Windows и Java Tomcat. 
• Файл с именем домена, на который выпускался сертификат, и расширением .crt содержит в себе открытый ключ сертификата.
• Файл с именем GlobalSign Root CA.crt содержит корневой ключ цепочки сертификата.
• Файл с именем AlphaSSL CA - SHA256 - G2.crt содержит промежуточный ключ цепочки сертификата.

Для создания цепочки сертификата вам необходимо поместить в один текстовый файл корневой ключ сертификата, за ним с новой строки промежуточный ключ и дать ему название GlobalSign.ca. Сделать это вы можете, открыв файлы с ключами цепочки через любой текстовый редактор. Для копирования всего содержимого файла лучше использовать комбинации клавиш Ctrl + A далее Ctrl + C, это необходимо, чтобы не пропустить символы при копировании текста.

Что делать, когда все файлы готовы

Когда все файлы готовы, можно переходить к установке сертификата. Процесс состоит из двух основных этапов:

1. Загрузка на сервер файлов сертификата, которые мы рассмотрели: секретный ключ, сертификат, цепочка сертификатов.
2. Переключение сайта на работу через защищенное соединение.

Конкретные шаги зависят от панели управления хостингом или типа сервера. Вы можете уточнить детали установки у своего хостинг-провайдера или воспользоваться инструкциями по ссылкам ниже.

SSL-сертификаты выпускают доверенные центры сертификации — Certification authority, CA. Они несут ответственность за качество сервиса и дают гарантии надёжности SSL-сертификата, подкреплённые финансовыми обязательствами. Если пользователь пострадает из-за уязвимости сертификата, ему выплатят денежную компенсацию.

В каждом браузере содержится список доверенных центров сертификации. Сайты с SSL-сертификатами из этого списка считаются безопасными для пользователя.

С какими сертификационными центрами работает FirstSSL

Мы сотрудничаем с доверенными центрами сертификации, которые внесены в безопасные списки всех самых популярных браузеров.

Нужна помощь по выбору сертификата? Пишите в наш чат или звоните 8 800 775 9 778

Большинство браузеров (в том числе и браузеры мобильных телефонов) распознают и отображают  установленный на сайте SSL-сертификат c расширенной проверкой.

Сертификаты Sectigo и Digisert распознаются 99,90% браузеров; Thawte, GeoTrust и RapidSSL - 99%.

Узнайте, как выглядит «зеленая строка» в популярных браузерах в этой статье >>

Ключ шифрования – это тайная информация (набор цифр и букв), которая используется алгоритмом для шифрования и расшифровки информации.

Надёжность ключа зависит от его длины в битах. В технологии SSL используют шифры 4096 бит для корневого сертификата и 128–256 бит для клиентских. Такая длина достаточна для безопасной передачи данных.

Протокол SSL использует асимметричное шифрование или шифрование с открытым ключом для установки соединения. Несмотря на название, здесь используются 2 ключа: открытый и закрытый. Оба формируются при запросе SSL-сертификата.

Открытый (публичный ключ) доступен всем. Используется для шифрования данных при обращении браузера к серверу.

Закрытый (секретный ключ) известен только владельцу сайта. Используется для расшифровки данных, отправленных браузером.

Шифрование с двумя ключами разного типа гарантирует сохранность информации. Даже если мошенник перехватит трафик, не сможет расшифровать его без закрытого ключа.

Однако асимметричный алгоритм ресурсоемок, а скорость шифрования на 2-3 порядка ниже симметричного алгоритма. Поэтому в SSL-технологии шифрование с открытым ключом используется только для согласования секретного симметричного ключа. С его помощью устанавливается защищённое HTTPS-соединение – данные передаются быстро и безопасно.

Сразу использовать симметричное шифрование ненадежно. В этом алгоритме один и тот же ключ шифрует и расшифровывает информацию. Посетитель сайта и владелец сервера должны договориться о нем без свидетелей.

Передать по почте, телефону или смской не получится – перехватят или подслушают.

Значит, нужно отправить симметричный ключ в зашифрованном сообщении. Но сначала убедиться, что его получит правильный адресат.

1. Чтобы аутентифицировать сервер, браузер посетителя проверяет, подписан ли SSL-сертификат сертификатом доверенного центра.
2. Чтобы договориться о симметричном ключе шифрования сервер и браузер используют асимметричное шифрование с открытым ключом.

Рассмотрим этот процесс на примере реальных ключей:

Боб отправляет Алисе замок, ключ от которого есть только у него.

Замок здесь – публичный ключ.

Алиса закрывает замком Боба ящик с секретом и посылает обратно.

Так же браузер шифрует сообщение с помощью публичного ключа и передаёт на сервер.

Открыть ящик не сможет никто: ни сама Алиса, ни сотрудники почты.

Мошенник точно так же не может расшифровать сообщение браузера без закрытого ключа.

Боб получает ящик, открывает своим единственным ключом и узнаёт секрет.

Сервер расшифровывает сообщение закрытым ключом, который есть только у него.

Как Алиса и Боб ведут тайную переписку, так браузер и сервер устанавливают защищённое HTTPS-соединение и обмениваются данными.

В отличие от стандартных сертификатов, Multi Domain обеспечивает безопасность нескольким доменам. 3 доменных имени входят в стоимость, другие (до 100 штук) оплачиваются дополнительно — 1144 руб./год.

MD облегчает управление SSL: один сертификат проще и быстрее получить, установить, настроить и перевыпустить.

Как и другие SSL-сертификаты, мультидоменный:

• обеспечивает шифрование данных до 256-бит,
• существует трёх типов проверки, с опциями SGC, IDN и защитой поддоменов (WC).

Чтобы перевыпустить сертификат перейдите в раздел “SSL-сертификаты” —  — “Перевыпуск”.

Уточните информацию для выпуска сертификата. Если у Вас есть сгенерированный CSR нажмите “Указать другой CSR”.

Следующий шаг — подтверждение прав на домен. Выберите один из указанных e-mail адресов.

Изменить список невозможно —он предоставлен сертификационным центром.

Запрос на перевыпуск передан в сертификационный центр.

Подтвердите перевыпуск сертификата по e-mail.  После подтверждения сертификат можно загрузить в разделе “SSL-сертификаты”.

Также вы можете оформить подписку на SSL-сертификат на срок до 5 лет. Это позволит за единоразовую плату обеспечить покрытие сертификатом на длительный период. Так как срок действия сертификата ограничен одним годом, он будет автоматически отправляться на перевыпуск за 14 дней до истечения срока действия. Ключ при этом остаётся прежним.

Для начала следует настроить SSL Connector.

Обратите внимание, что Tomcat по умолчанию ищет keystore в файле .keystore в директории CATALINA_Home с паролем по умолчанию "changeit".

Директория CATALINA_Home находится в разных местах относительно ОС или дистрибутива. В основном, это /etc/tomcat или C:\Program Files\Apache Software Foundation\Tomcat
в Windows.

Настройка SSL Connector в файле server.xml
1. Скопируйте Ваш файл kestore (example.key или example.pfx) в директорию CATALINA_Home
2. Откройте файл conf/server.xml
3. Раскомментируйте параметры SSL Connector
4. Убедитесь, что указан порт 443.
5. В случае отличия названия вашего файла keystore и пароля от тех, что заданы по умолчанию, укажите их в настройках SSL Connector.
6. Сохраните файл и перезапустите Tomcat

Настройка SSL Connector через административную панель Tomcat
1. Запустите Tomcat
2. Перейдите в административную панель http://<domain>:8080/admin и авторизуйтесь как администратор
3. Слевой стороны выберите пункт меню "Service"
4. В появившемся списке выберите "Create New Connector".
5. В поле "type" установите https
6. В поле "Port" - 443
7. Введите имя файла .keystore (и его местоположения, в случае, если он находится не в директории CATALINA_Home) и пароль к нему.
8. Нажмите "Save" для сохранения настроек и "Commit Changes" для записи их в конфигурационный файл Tomcat.

Установка SSL сертификата сводится к нескольким шагам:

1. Поместите файл сертификата в директорию /etc/ssl/certs/, а файл ключа в /etc/ssl/private
2. Укажите в файле настроек ssl для dovecot эти параметры. Обычно файл располагается в /etc/dovecot/conf.d/10-ssl.conf

ssl = yes
# Владелец и группа файла root:root, права доступа 0444
ssl_cert = </etc/ssl/certs/dovecot.pem
# Владелец и группа файла root:root, права доступа - 0400
ssl_key = </etc/ssl/private/dovecot.pem

Обратите внимание на то, что Dovecot не следует давать права доступа на запись

Так же можно указать  сертификат и ключ, которые находятся в одном файле

# Владелец и группа файла root:root, права доступа - 0400
ssl_cert = </etc/ssl/dovecot.pem
ssl_key = </etc/ssl/dovecot.pem

Если ssl-сертификат использует пароль, то пригодится параметр

ssl_key_password = secret

указывающий пароль.  Иначе Dovecot будет запрашивать пароль при каждом своем запуске.

Файл цепочки сертификата нужен во время установки SSL сертификата, а так же большей лояльности приложений.
Помимо самого сертификата для домена потребуются файлы сертификатов посредников и корневой сертификат. Все они (кроме сертификата для домена) создают цепочку, которая информирует подключаемое приложение о сертификате и центрах, которые выдали и подтвердили сертификат.

Пример:
● сертификат для домена - domain.crt
● сертификат посредника 3 - Intermediate3.crt
● сертификат посредника 2 - Intermediate2.crt
● сертификат посредника 1 - Intermediate1.crt
● корневой сертификат - CARoot.crt
Обратите внимание, что в саму цепочку помещать сертификат домена не следует.

Обычно центр сертификации прилагает к SSL-сертификату уже сформированную цепочку — domain.ca-bundle. Если в архиве с сертификатом её нет, необходимо сформировать цепочку самостоятельно. Это можно сделать двумя способами:

1. С помощью текстового редактора:
a. откройте файлы
b. создайте новый документ
c. скопируйте в новый документ содержание каждого из файлов в последовательности: сертификат посредника 3, сертификат посредника 2, сертификат посредника 1, корневой сертификат
d. сохраните файл как domain.ca-boundle

2. С помощью командной строки:
a. В операционной системе семейства UNIX: cat “сертификат посредника 3” “сертификат посредника 2” “сертификат посредника 1” “корневой сертификат” > domain.ca-bundle
b. В Windows/DOS: copy “сертификат посредника 3” + “сертификат посредника 2” + “сертификат посредника 1” + “корневой сертификат”  domain.ca-bundle

Для установки SSL в nginx сохраните файлы сертификата (.crt) и цепочки сертификатов (.ca-bundle).

Файлы доступны для загрузки в письме о выпуске сертификата:

Также в личном кабинете загрузите секретный ключ. Ключ доступен в разделе "Товары" — "SSL-Сертификаты" — "Просмотр".

Если ключ отсутствует, значит на втором шаге заказа был отмечен пункт "не сохранять секретный ключ". Восстановить ключ можно только через перевыпуск сертификата.

Создание цепочки сертификатов.

Первоначально необходимо объединить файл сертификата (.crt) и цепочку сертификатов (.ca-bundle) в новый .crt файл.

Также Вы можете создать текстовый файл с расширением .crt и по очереди указать данные из file.crt и  file.ca-bundle.

Настройка веб-сайта

Созданный файл поместите в директорию, где хранятся сертификаты. Обычно это раздел /etc/ssl/cert

Где:

Перезапустите Nginx командой: /etc/init.d/nginx restart

Проверьте, сайт должен быть доступен по https.

SSL защищает пароли, номера и CVV-коды кредитных карт от перехвата мошенниками. Данные нельзя украсть благодаря безопасному HTTPS-соединению. От обычного HTTP оно отличается двухэтапным шифрованием трафика по протоколу TLS:

1. Асимметричное шифрование. Браузер пользователя и сервер идентифицируют друг друга с помощью закрытого–открытого ключей и устанавливают защищенное соединение.
2. Симметричное шифрование. Браузер пользователя и сервер договариваются о симметричном ключе, чтобы передавать данные быстро и с меньшими затратами вычислительных мощностей.

Зашифрованное HTTPS-соединение безопасно по двум причинам:

Аутентификация сервера

Для доступа к конфиденциальным данным мошенники создают фальшивые сайты и привлекают посетителей из рассылки и чатов. Например, на почту приходит письмо: «Ваш аккаунт на сайте site.ru взломан! Срочно перейдите по ссылке и смените пароль!». Это называется фишинг. Внешне такие страницы очень похожи на настоящие – пользователи доверяют бренду, вводят пароли и теряют деньги.

Чтобы отличить реальный сайт, нужно проверить подлинность SSL-сертификата. Вот как это происходит:

• при подключении к ресурсу ваш браузер связывается с центром выдачи сертификата и сверяет его цифровую подпись;
• если она не подделана и не просрочена – сайт обозначается как надёжный.

Переходим к следующему этапу аутентификации:

• браузер шифрует сообщение с помощью публичного ключа сертификата и передаёт на сервер;
• сервер расшифровывает сообщение приватным ключом, который есть только у него.

Сайт опознается как подлинный. Вы уверены, что соединяетесь с реальным магазином/банком/платежным сервисом, а не фишинговым.

Как работают открытый и закрытый ключи шифрования

Защищенный канал

Мошенник может не создавать поддельный сайт, а просто перехватить информацию.

При HTTP-соединении данные передаются в открытом виде – их легко украсть и использовать. При HTTPS-соединении информация шифруется – ее можно перехватить, но не получится использовать. Для этого понадобится секретный ключ, а он есть только у владельца сайта.

Благодаря аутентификации сервера и шифрованию трафика технология SSL защищает данные пользователей и репутацию сайтов. Если на сайте установлен сертификат, мошенники не могут подделать ресурс или расшифровать украденную информацию.

Сертификаты делятся на 3 типа по уровню проверки. Каждый из них имеет свои визуальные признаки. Посетители видят их на сайте и решают, насколько ему можно доверять.

• SSL сертификаты с проверкой домена (Domain Validation, DV)

Включают проверку начального уровня:

• подтверждают право собственности на домен
• обеспечивают безопасную передачу данных по защищённому HTTPS-соединению

Время выпуска: 1–10 минут

Визуальный признак: замочек в адресной строке

Что нужно сделать: перейти по ссылке из проверочного письма – центр сертификации пришлёт его на почту.

Что вы получите: посетители будут уверены, что вводят данные на нужном им сайте, а не на поддельном ресурсе. При передаче данные тоже не попадут к мошенникам – соединение защищено HTTPS-протоколом.

Надо брать: сайтам индивидуальных предпринимателей, разработчикам приложений.

Как выглядит:

Выбрать DV SSL-сертификат от 494 руб. в год >>

• SSL сертификаты с проверкой организации (OV или Organization Validation)

Предполагают проверку информации о компании в онлайн-справочнике и на государственном ресурсе:

• доказывают юридическое и физическое существование организации
• подтверждают право собственности на домен
• обеспечивают безопасную передачу данных по защищённому HTTPS-соединению

Время выпуска: 3–10 рабочих дней

Визуальные признаки: замочек в адресной строке, печать доверия сертификационного центра и отображение информации о компании в сертификате

Что нужно сделать: подтвердить домен, представить уставные документы и ответить на проверочный звонок от центра сертификации.

Что вы получите: посетители поймут, что сайт принадлежит реальной компании, а не однодневке. Будут доверять ресурсу больше – без опасений вводить номера кредитных карт, пароли и другие личные данные.

Надо брать: гос.порталам, интернет-магазинам и другим коммерческим ресурсам.

Как выглядит:

Выбрать OV SSL-сертификат от 4459 руб. в год >>

• SSL сертификаты с расширенной проверкой (EV или Extended Validation)

Предполагают проверку правовой, физической и операционной деятельности компании.

• доказывают существование организации и легальность её деятельности
• подтверждают право собственности на домен
• обеспечивают безопасную передачу данных по защищённому HTTPS-соединению

Время выпуска: 10–14 рабочих дней

Визуальные признаки: зелёная адресная строка с замочком, печать доверия сертификационного центра, отображение информации о компании в сертификате и адресной строке.

Что нужно сделать: подтвердить домен, номер телефона и представить официальные документы компании.

Что вы получите: даже самые недоверчивые посетители будут доверять вашему сайту – совершать крупные покупки и оставлять паспортные данные.

Надо брать: интернет-магазинам с большой аудиторией, банковским системам и платёжным сервисам.

Как выглядит:

Выбрать EV SSL-сертификат от 10 447 руб. в год >>

Для дополнительной защиты установите SSL-сертификат с опцией SGC

Если посетители вашего сайта используют устаревшие браузеры, обычный сертификат не защитит передаваемые данные. Такие браузеры поддерживаю только небезопасное 40-битное шифрование. Сертификат с опцией SGC принудительно увеличивает шифрование до безопасного 128/256-битного.

Надо брать: крупным интернет-магазинам, почтовым и платёжным сервисам, ресурсам B2B тематики – всем, кому важна репутация и безопасность каждого клиента. Особенно актуально, если посетители вашего сайта – бюджетные организации – они часто используют устаревшее железо.

Мы сотрудничаем с доверенными центрами сертификации (Certificate Authority, CA). Они выпускают действительные сертификаты, которые опознают все популярные браузеры. Уровень защиты одинаковый, отличие только в стоимости и каналах связи с поддержкой.

Sectigo выдаёт недорогие сертификаты, но для получения SSL с проверкой организации нужна регистрация в каталоге Duns – 12 240 руб. Поэтому большей популярностью пользуются DV сертификаты Comodo.

Поддержка: email, телефон

GeoTrust выпускает SSL быстрее других центров. Пользователи хорошо знают бренд и особенно доверяют его сертификатам с простой и расширенной проверкой организации.

Поддержка: email, телефон

Digicert известен надёжными сертификатами с опцией SGC. Но есть недостаток – такой SSL можно перевыпустить один раз, потом придётся заказывать новый. В других центрах допускается больше перевыпусков.

Поддержка: email, телефон, LiveChat.

Thawte сертификаты с OV проверкой востребованы у банков. Проекты ВТБ, ресурсы ПромСвязьБанка и Альфа-Банка устанавливают сертификаты этого CA.

Поддержка: email, телефон, LiveChat.

RapidSSL выдаёт недорогие, но надёжные сертификаты. От Comodo они отличаются большей суммой гарантии (– эти деньги возвращают при взломе SSL-шифра).

Поддержка: email, LiveChat.

Остались вопросы? Звоните, поможем  –  8 800 775 9 778 (бесплатно, круглосуточно).

CRL или CAC — списки SSL-сертификатов, отозванных центром выдачи (CA). На 2017 год происходит отказ от использования CRL (САС) в пользу OCSP (Онлайн Протокол Состояния Сертификата).

SSL обеспечивает защищённое HTTPS-соединение с сайтом, но существуют угрозы безопасности даже при действующем сертификате. Самая распространённая – секретный ключ скомпрометирован. Передача данных становится небезопасна. Чтобы номера кредитных карт и пароли пользователей не попали к мошенникам, сертификат нужно отозвать.

Основные причины аннулирования SSL:

• ключ утерян/украден или скомпрометирован
• неверно указано название компании или другие данные
• сайт прекратил работу
• сменился владелец ресурса
• выдавший сертификат Certification Authority скомпрометирован

Как работают списки CRL?

Список аннулированных сертификатов публикует Certificate Authority (CA), выдавший сертификат:

1) Владелец домена или посетитель сайта, заметивший проблему, обращается в CA и просит аннулировать действующий SSL.

2) CA заносит уникальный серийный номер сертификата в список CAC, который:

• защищён цифровой подписью центра — нельзя изменить
• обновляется минимум раз в сутки — всегда актуален

3) Каждый раз при соединении с ресурсом браузер посетителя проверяет, аннулирован ли SSL-сертификат. Смотрит в загруженных списках CRL или по протоколу OCSP — через запрос к CA. Если находит сертификат в списке CRL или получает от CA ответ, что сертификат отозван — показывает предупреждение об ошибке.

Не все браузеры загружают списки CAC и пользуются OCSP

Firefox проверяет статус только для сертификатов с расширенной проверкой EV. Пользователи этого браузера не узнают об отзыве SSL DV и OV. Так же как и мобильные пользователи Safari в iOS. Chrome определяет статус сертификата для Windows, но не для Linux и Android.

Internet Explorer и Opera — самые безопасные в этом отношении браузеры. Они используют OCSP и CRL в зависимости от того, что предлагает CA.

Аннулированный сертификат нельзя восстановить, только купить новый. Берегите секретный ключ — его утеря или компрометация чаще всего приводит к отзыву SSL-сертификата.

SSL- сертификат повышает доверие посетителей к сайту и компании. Доверие влияет на конверсию — число покупателей по отношению к числу посетителей растёт. Это работает так:

У SSL-сертификатов есть 3 визуальных показателя.

Печать доверия демонстрирует:

• на сайте установлен подлинный SSL-сертификат, выданный доверенным центром сертификации

— информацию о сертификате и компании можно посмотреть — кликните по печати или наведите на неё курсор.

Замок в адресной строке показывает:

• домен подтверждён доверенным центром сертификации
• соединение с сайтом безопасно — осуществляется по протоколу HTTPS с шифрованием данных

— можно смело вводить пароли, номера и коды кредитных карт — они не попадут в руки мошенников.

Зелёная адресная строка доказывает:

• ресурс принадлежит реально существующей компании
• организационная и правовая деятельность фирмы проверена

— в этой компании можно покупать без опасений: вы получите то, за что заплатили.

Посетители, которые доверяют сайту и компании, не боятся вводить личные данные, покупать товары и выполнять другие целевые действия — выше конверсия.

Google официально заявляет, что с 2014 года защищённое HTTPS-соединение улучшает позиции сайта при ранжировании. Чем выше поднимется ваш ресурс в результатах поиска, тем больше потенциальных клиентов вы получите.

Установите на сайт SSL-сертификат — потенциальные клиенты будут больше доверять компании и активно покупать ваши товары/услуги.

Заказ и оплата сертификата

После оплаты Вам на e-mail придет уведомление с просьбой настроить сертификат.

На 4 шаге (у OV/EV это 5 шаг) выберите почтовый адрес, на который придёт письмо со ссылкой на валидацию домена. Это должен быть один из 5 типовых e-mail на домене.

Подтверждение выпуска сертификата

После того как сертификат оплачен, необходимо подтвердить его выпуск. Вам поступит письмо об успешной заявке на выпуск сертификата и инструкция от сертификационного центра.

Подтверждение владения доменом

Проверка организации

Выпуск сертификата

Чтобы данные пользователей всегда были защищены, нужно регулярно продлевать SSL-сертификат. Чтобы быть во всеоружии, изучите инструкцию по продлению.
 

Читать

Для корректного выпуска сертификата по IIS, существует два способа генерации CSR:

Создание запроса на сертификат на сервере IIS.

Первоначально откройте Диспетчер серверов (Пуск — Администрирование —  Диспетчер серверов).

В открывшемся окне перейдите в Диспетчер служб IIS (Средства — Диспетчер служб IIS) и кликните на “Сертификаты сервера”.

Далее перейдите в пункт “Создать запрос сертификата” в меню “Действия”.

В открывшемся окне латиницей заполните поля:

В следующем окне укажите поставщика: “Microsoft RSA SChannel” и длину ключа: “2048”.

Кликните “Далее” и укажите расположение файла.

Готово — файл сохранен в выбранной директории.

Сгенерированный CSR можно указать в личном кабинете на втором шаге заказа сертификата. Для этого выберите пункт “указать имеющийся” и скопируйте текст из созданного файла.

После выпуска установите сертификат.

Заказ и оплата сертификата

После оплаты Вам на e-mail придет уведомление с просьбой настроить сертификат.

На втором шаге укажите административный и технический контакт. На e-mail технического контакта будет отправлен архив с сертификатом после его выпуска.

На 3 шаге (у OV/EV это 4 шаг) выберите почтовый адрес, на который придёт письмо со ссылкой на валидацию домена. Это должен быть один из 5 типовых e-mail на домене.

Для OV/EV сертификатов на третьем шаге необходимо латиницей заполнить информацию об организации. Указывайте точный данные, сертификационный центр будет выполнять проверку.

Подтверждение выпуска сертификата

После того как сертификат заказан, необходимо подтвердить его выпуск. Вам поступит письмо об успешной заявке на выпуск сертификата и инструкция от сертификационного центра.

Подтверждение владения доменом

Проверка организации

Выпуск сертификата

В открывшемся окне будут доступны ссылки на серкетный ключ, csr и файл сертификата.

Для корректного выпуска сертификата по IIS, существует два способа генерации CSR:

Создание запроса на сертификат на сервере IIS.

Первоначально откройте Диспетчер серверов (Пуск — Администрирование —  Диспетчер серверов).

В открывшемся окне перейдите в Диспетчер служб IIS (Средства — Диспетчер служб IIS) и кликните на “Сертификаты сервера”.

Далее перейдите в пункт “Создать запрос сертификата” в меню “Действия”.

В открывшемся окне латиницей заполните поля:

В следующем окне укажите поставщика: “Microsoft RSA SChannel” и длину ключа: “2048”.

Кликните “Далее” и укажите расположение файла.

Готово — файл сохранен в выбранной директории.

Сгенерированный CSR можно указать в личном кабинете на первом шаге заказа сертификата.

Для этого выберите пункт “Уже есть CSR” и скопируйте текст из созданного файла.

После выпуска установите сертификат.

Для получения сертификата вам нужно  ввести подробную информацию о компании, домене и контактных лицах.  Чтобы ни один шаг заказа не вызвал у вас сложностей мы написали подробную инструкцию по покупке и активации SSL сертификатов с проверкой домена. 

SSL с проверкой организации обеспечивает безопасную передачу данных по протоколу HTTPS. Но это не главное — такую функцию выполняют все SSL-сертификаты. Главное для пользователей — доверить данные надежной компании.

Как OV обеспечивает доверие пользователей:

• Certification authority проверяет домен и организацию.
• Вы получаете и устанавливаете OV SSL.
• Посетители сайта видят замочек в адресной строке, и название фирмы в сертификате. Понимают, что компания официально зарегистрирована и ведёт свою деятельность не первый день.
• Посетители становятся клиентами — вводят личные данные и совершают покупки.

Степень доверия к сайту с OV сертификатом выше, чем к ресурсу с DV. К валидации домена добавляется верификация компании — доказательство её физического и юридического существования. Пользователи доверяют сайту, даже если раньше не слышали о такой фирме.

Национальный домен (англ. IDN) — доменное имя с использованием символов национального алфавита. Пример кириллического домена - яндекс.рф.

Cтандарт доменных имен (DNS) допускал регистрацию доменов только с символами в ASCII кодировке — 26 букв латинского алфавита (a-z), цифры (0-9) и символ дефиса (37 символов).
С ростом количества пользователей, которые используют нелатинские языки возникла потребность в национальных доменах. По статистике ICANN для 60% интернет-пользователей английский язык не является родным.
Доменные имена на родном языке упрощают навигацию по интернету. Например, если вы читаете интернет-издание на русском языке и на странице содержится ссылка с дополнительной информацией, воспроизведение веб-адреса символами ASCII может быть затруднительным. Кроме того, для веб-сайта с содержимым на русском языке разумнее создать адрес с использованием кириллических символов.
Необходимость создания IDN выдвинута Мартином Дюрстом в декабре 1996 года.
Первая кириллическая доменная зона — .рф. Открытая регистрация доменов в зоне .рф стала доступна с 2010 года.

Как работает национальный домен

Для корректной регистрации национальных доменов разработан Punycode.
Punycode — метод, преобразования unicode символов в латиницу для работы DNS.
Чтобы IDN-домен после преобразования не распознался, как латинский каждый IDN-домен начинается с префикса «xn--».
Например, домен «сертификат.рф» при трансформации в punycode — xn--80ajjak7afkeq.xn--p1ai.
Браузер автоматически преобразовывает кириллический домен в Punycode.
Для преобразования домена в Punycode используйте конвертер.

Сертификаты для национальных доменов

Для защиты сайта с IDN-доменом также необходимо установить SSL-сертификат.
Но не все SSL-сертификаты поддерживают национальные домены.
Чтобы заказать подходящий сертификат перейдите в раздел сайта.
В разделе доступны сертификаты для всех типов проверки с возможностью выбора бренда и количества доменов.
Если у вас возникли сложности с заказом, воспользуйтесь статьей или напишите в службу поддержки.

Покупая сертификат, вы рассчитываете, что он будет бесперебойно защищать данные посетителей сайта, поэтому так важно в срок продлевать его действие.

Рассказываем о двух простых инструментах, которые помогут автоматизировать продление и больше не беспокоиться о том, что вы забудете сделать это вовремя.

• Автопродление с привязанного счёта (подписка)
• Автопополнение баланса (автоплатёж)

Автопродление с привязанного счёта (подписка)

Подписка позволяет автоматически продлевать сертификат со счёта, который вы привяжете в Личном кабинете. Привязать можно:

• банковскую карту (через платёжную систему PayMaster или Яндекс.Касса);
• электронный кошелёк Яндекс.Деньги

Подписка срабатывает за 60 дней до конца срока действия текущего сертификата — то есть после автопродления у вас будет ещё два месяца, чтобы заменить старый сертификат на новый.

Настроить подписку можно в процессе заказа нового SSL-сертификата или в настройках для действующего.

• Подписка в процессе заказа нового SSL-сертификата
• Подписка для действующего SSL-сертификата
• Если что-то пойдёт не так

Подписка в процессе заказа нового SSL-сертификата

При оплате SSL-сертификата система предложит вам сохранить использованный для оплаты счёт — в будущем с его помощью можно будет быстро оплачивать новые услуги или настроить подписку, чтобы услуги продлевались автоматически.

Вы будете перенаправлены в платёжную систему, которая предложит заполнить платёжные данные карты или кошелька, указать контакты (email или телефон) для уведомлений:

После успешной оплаты вернитесь в Личный кабинет — раздел SSL-сертификаты. Нажмите «Завершите настройку», чтобы заполнить данные для выпуска сертификата. Подробнее о процессе выпуска можно узнать в статье «Заказ и подтверждение SSL-сертификата»

На последнем шаге будут доступны настройки автоматического продления. При включении автопродления система предложит выбрать способ оплаты — выберите привязанный счёт и нажмите «Отправить запрос в центр сертификации».

На этом настройки подписки будут завершены. Когда до конца срока действия сертификата останется два месяца, система автоматически продлит сертификат с привязанного счёта и отправит вам уведомление в Личном кабинете и на email.

Подписка для действующего SSL-сертификата

Чтобы настроить подписку для действующего SSL-сертификата, необходимо предварительно привязать счёт, с которого вы хотите продлевать сертификат.

Для этого перейдите в Личный кабинет и в правом верхнем углу нажмите на ваш логин — откроются опции учётной записи.

Перейдите в пункт «Способы оплаты» и нажмите «Добавить способ оплаты».

Выберите, какой счёт вы хотите привязать — банковскую карту или электронный кошелёк.

Система перенаправит вас в платёжную систему, где потребуется заполнить реквизиты вашей карты или кошелька, указать электронную почту и опционально телефон для уведомлений, ввести код подтверждения вашего банка.

Для проверки корректности платёжных данных система спишет один рубль с баланса карты — после этого процесс привязки счёта будет завершён.

Затем можно настроить подписку для действующего сертификата. В Личном кабинете откройте раздел SSL-сертификаты. В карточке нужного сертификата нажмите на иконку продления и нажмите «Включить»:

Здесь выберите период продления, привязанный на предыдущем шаге счёт и нажмите «Включить»:

Система сообщит об успешном подключении автопродления. В будущем в этом же разделе вы сможете перенастроить или отключить подписку:

Список всех услуг с настроенным автопродлением и подпиской будет доступен в Личном кабинете — раздел Финансы и документы — Автопродление услуг:

Если что-то пойдёт не так

Если при попытке продления услуги по подписке произойдёт ошибка (например, недостаточно средств для оплаты на счёте, блокировка карты, ошибка банка), система автоматически отключит недоступный привязанный счёт и отправит уведомление на вашу электронную почту. В разделе Способы оплаты изменится статус привязанного счёта.

Для решения в первую очередь убедитесь, что на балансе сохранённого способа оплаты достаточно средств и нет блокировки. После этого для восстановления работы автопродления вернитесь в раздел Способы оплаты и выполните перенастройку — потребуется заново ввести ваши данные в платёжной системе.

Если перенастройка пройдёт успешно, на следующие сутки система повторит попытку автоматического продления.

Автопополнение баланса (автоплатёж)

Автопополнение баланса можно использовать как альтернативу подписке. Разница в том, что при подписке услуги сразу автоматически продлеваются с баланса ваших карты или кошелька, а автоплатёж только пополняет счёт Личного кабинета. Какие услуги продлятся — зависит уже от того, настроили ли вы для них автоматическое продление с лицевого счёта или нет.

Автоплатёж срабатывает за 7 дней до конца срока действия сертификата либо в момент автопродления с лицевого счёта, если на нём недостаточно средств.

Управлять настройками автоплатежа можно в Личном кабинете. В правом верхнем углу нажмите на ваш логин — откроются опции учётной записи.

Перейдите в пункт «Настроить автоплатёж», откроется окно настройки:

1. Укажите максимальную сумму автоплатежа в месяц. Система не сможет списать в месяц сумму больше, чем вы укажете на этом шаге.

2. Выберите способ оплаты, через который хотите автоматически пополнять баланс.
3. Нажмите «Подтвердить» для перехода в платёжную систему.
4. Заполните данные карты или кошелька, адрес электронной почты, введите код подтверждения вашего банка. В процессе с вашего счёта будет списан 1 рубль для проверки корректности платёжных данных.

На этом процесс настройки будет завершён.

В случае, если на счёте, с которого работает автопополнение, недостаточно средств, установлена блокировка или он не доступен по другим причинам — система отправит уведомление об ошибке автоплатежа на вашу электронную почту. Если вы не смогли установить причины ошибки самостоятельно — напишите нам, поможем разобраться.

Спустя 5 дней система повторит попытку, и далее будет повторять ежедневно до успешного пополнения баланса или удаления услуги, для которой сработал автоплатёж.

Если вы заказываете дополнительные сертификаты или меняете настройки имеющихся (например, заказываете дополнительные домены в мультидоменный сертификат), которые планируете продлевать с баланса, необходимо изменить лимит автоплатежа — прибавить к нему стоимость нового сертификата.

Выпуск SSL-сертификата для Microsoft Exchange 2016 инициируется с сервера, для защиты которого нужен сертификат. 

Для этого откройте Центр администрирования Microsoft Exchange и перейдите в меню Серверы — Сертификаты. Укажите сервер, на который хотите создать запрос на сертификат, и нажмите «+»

Откроется мастер создания сертификатов. Выберите пункт «Создать запрос на сертификат, подписанный центром сертификации» и нажмите «Далее».

На следующем шаге введите «опознавательное» имя сертификата и нажмите «Далее». Оно не будет использоваться в запросе, но с его помощью вы сможете найти этот сертификат позже.

На следующем шаге мастер предложит настроить групповой сертификат.

• Если вы хотите защитить сертификатом домен со всеми поддоменами (например, *.example.com, Wildcard), на этом шаге нужно отметить соответствующий пункт и ввести имя корневого домена (в формате *.example.com).
• Если вы хотите защитить сертификатом простой домен, нажмите «Далее» без дополнительных настроек.

На следующем шаге нужно выбрать сервер, на котором будет храниться запрос сертификата. Обычно запрос хранится на сервере, где будет установлен сертификат. Выберите сервер в списке в меню «Обзор» и нажмите «Далее».

Следующий этап подразумевает выбор узлов, которые вы хотите защитить запрашиваемым сертификатом. Выберите необходимые узлы, зажав клавишу Ctrl и кликая мышкой по нужным пунктам. Для перехода на следующий шаг нажмите «Далее».

Если вы запрашиваете Wildcard-сертификат, этот шаг будет автоматически пропущен.

На основе вашего выбора на предыдущем шаге система сгененирует список доменов, которые будут включены в сертификат. На следующем шаге вы можете проверить этот список и удалить или добавить доменные имена.

Далее нужно заполнить данные компании — владельца сертификата. Данные рекомендуется заполнять латинскими символами (исключение — название страны, его нужно выбрать из списка).

На последнем шаге система предложит указать, где сохранить файл с запросом на сертификат. Путь указывается в формате UNC. Например:

\\SERVERNAME\с$\Users\Administrator\Desktop\cert-request.req

где SERVERNAME — сетевое имя вашего сервера, а cert-request.req — название сохраняемого файла.

После этого нажмите «Готово», и ваш запрос появится в списке сертификатов MS Exchange:

На этом процесс генерации запроса завершён. Осталось использовать его для заказа и выпуска SSL-сертификата.

Для этого найдите файл с запросом на сервере, откройте его с помощью Блокнота и скопируйте его содержимое:

Перейдите на страницу заказа нужного сертификата. В процессе оформления в поле «Запрос на получение сертификата» отметьте пункт «Указать имеющийся», и в поле ввода вставьте скопированный запрос с сервера.

После этого проверьте, что все контактные данные в запросе определены корректно. 

На следующем этапе останется заполнить ваши контактные данные, выбрать способ подтверждения сертификата и внести оплату — как при заказе обычного SSL.