Блог

Как заказать SSL-сертификат. Общая схема и 5 главных ошибок

Как заказать SSL-сертификат. Общая схема и 5 главных ошибок
Настя Кузнецова
Редактор

Современный сайт не сайт без SSL-сертификата. Если не хотите обновлять его каждые 90 дней или хотите подтверждение организации — бесплатный SSL вам не подходит. Надо заказывать платный SSL-сертификат.

Дело это не самое занятное. Сначала SSL нужно выбрать, оплатить, потом правильно оформить заявку и пройти проверку центра сертификации. Чтобы вы ничего не забыли и нигде не ошиблись, мы описали, как происходит заказ SSL-сертификата и какие ошибки обычно допускают.

Шаг 1. Выберите SSL-сертификат

Типы сертификатов

DV-сертификат

Самый простой, обеспечивает безопасное соединение. Подходит для сайтов-визиток, авторских блогов или форумов — где не надо оставлять конфиденциальные данные и совершать покупки.

OV-сертификат

Получить этот SSL-сертификат может только организация, и домен должен принадлежать ей. OV обеспечивает безопасное соединение и подтверждает, что организация существует. Подходит сайтам, где пользователи оставляют конфиденциальные данные и совершают покупки. Но не крупным бизнесам, для них есть EV.

EV-сертификат

Получить этот SSL-сертификат тоже могут только организации, для своего домена. EV обеспечивает безопасное соединение, подтверждает, что ваша организация существует и её деятельность законна. Подходит крупным предприятиям, интернет-магазинам, банкам, фондам, государственным организациям. Отличается внешне: если кликнуть на замочек в адресной строке браузера, можно увидеть название компании. С таким отличием можно завоевать максимальное доверие пользователей, но только продвинутых — которые знают, куда смотреть.

EV-сертификат, при клике на замочек видно название компании

Мультидоменные и Wildcard-сертификаты

Мультидоменные сертификаты защищают сразу несколько доменов, а Wildcard — неограниченное число поддоменов. И те, и другие бывают трёх типов: DV, OV и EV. Подходят тем, у кого доменов или поддоменов много.

Срок действия

Есть сертификаты на 1 и 2 года. Срок ограниченный и небольшой из соображений безопасности — с перевыпуском SSL получает обновления. Обычно выгоднее заказать двухлетний SSL-сертификат, стоимость за год получается дешевле.

Где покупать

Центры сертификации: Digicert, GeoTrust, Comodo, Thawte и др.
Партнёры центров: LeaderSSL, ISPsystem, Reg.RU, RU-Center и др.

У партнёров дешевле, потому что центрам выгоднее продавать через них. А ещё часто партнёры — это хостинг-провайдеры. Проверьте, может и ваш продаёт SSL.

 

Теперь вы знаете всё. Выберите SSL нужного типа и срока действия, положите в корзину и вперёд, заполнять поля и формы. Иногда оплату попросят перед оформлением заявки, иногда после — это нормально.

Шаг 2. Оформите заявку на SSL

Укажите информацию о себе и компании. Продавец зашифрует эти данные и создаст из них CSR-запрос. Это файл и он очень важен: если SSL шифрует данные, то в CSR хранится один из ключей для шифрования, его называют открытым или публичным. Бывает так, что у вас уже есть CSR — вы создали его заранее, в каком-то другом сервисе. Тогда можно просто вставить готовый запрос, обычно для этого есть отдельная форма.

Вместе с CSR создастся второй ключ для шифрования — закрытый или приватный. Очень важно скачать его и сохранить в надёжном месте: на компьютере или флеш-карте, но не в облаке. На то он и приватный.

Обязательный этап получения любого SSL-сертификата — подтверждение домена. Обычно для этого есть три способа: электронное письмо, txt-файл или DNS-запись.

  • письмо можно получить только на определенный ящик на вашем домене — продавец покажет список. Создание и настройка почтового ящика занимает в среднем несколько часов;
  • txt-файл нужно просто скачать и загрузить на сайт с помощью файлового менеджера;
  • DNS-запись — вариант для более продвинутых пользователей. Если никогда не создавали такие записи, лучше не начинать выбрать другой вариант.

Обратите внимание: чтобы получить SSL-сертификат OV или EV, домен должен принадлежать организации.

Шаг 3. Пройдите проверку центра сертификации

Заказали DV — подтвердите домен
Про три способа подтвердить домен мы только что сказали. Выберите один и следуйте инструкции продавца. Когда закончите, через 5-10 минут получите на почту свой SSL-сертификат.

Заказали OV — подтвердите организацию
После подтверждения домена нужно ещё пройти проверку организации — процесс зависит от центра сертификации, требования пришлют на почту. Обычно достаточно отправить реквизиты, иногда ещё ответить на звонок от центра сертификации. На всю проверку уйдет от 2 до 5 дней.

Заказали EV — подтвердите, что всё по закону
После подтверждения домена нужно пройти расширенную проверку организации. Тут снова всё зависит от центра сертификации, требования ждите на почту. Обычно нужно отправить реквизиты, подписать соглашение с центром сертификации, отправить его по почте и подготовиться к проверочному звонку от центра. На всё про всё уйдёт до 2 недель.

Шаг 4. Не совершите распространённых ошибок

Заполняйте заявку на SSL-сертификат на латинице. Потому что русскоязычных центров сертификации нет. И никто из них не разберёт, что вы написали.

Выберите способ подтверждения домена. Иногда этот пункт пропустить легко, зависит от интерфейса магазина. Но пропускать его нельзя: не выберете способ — не подтвердите домен — не получите сертификат.

Сохраните секретный ключ и не потеряйте его. Секретный ключ не пришлет ни центр сертификации, ни поддержка компании, где вы купили SSL. Этот ключ — приватная информация, которая должна быть известна только владельцу сайта. Поэтому возможность скачать его есть только у вас и только на этапе заказа. Если потеряете ключ, придётся перевыпускать SSL-сертификат с новым CSR и новым ключом.

Заранее зарегистрируйтесь в одном из справочников: Yp.ru, Yell.ru, Telkniga.info, Nomer.org, Google My Business. Это актуально для тех, кто заказывает OV или EV-сертификат. Потому что центры сертификации будут сверять информацию, которую вы указали, с информацией в справочниках. Зарегистрируйтесь в одном из них заранее и укажите там те же данные, что и при регистрации домена — на это центры сертификации тоже посмотрят. Проверить данные домена можно через сервис Whois.

Подготовьтесь к проверочному звонку — это тоже только для тех, кто заказал EV или OV-сертификат. Раньше для проверки по телефону достаточно было указать номер в одном из справочников (Yp.ru, Yell.ru, Telkniga.info или Nomer.org) и проверить, что этот же номер указан при регистрации домена (с помощью сервиса Whois). Но мошенники могут подделать запись в справочнике, поэтому некоторые центры ужесточили требования телефонной проверки.

Например, Comodo совсем недавно требовал регистрацию в международной базе данных D&B (Dun & Bradstreet), а это платно и стоит около 15 000 руб. Теперь Comodo сжалился и спрашивает аккаунт в Google My Business, у организаций младше 3 лет точно спрашивает. Что будет завтра или с другим центром — неизвестно. Но будьте готовы отправить письмо, заверенное нотариусом, или добавить номер телефона в ЕГРЮЛ.

О требованиях вашего центр вы узнаете из письма, оно придёт после оформления заявки на SSL. В ответе укажите, если не сможете ответить на звонок по-английски. У Thawte, VeriSign и GeoTrust есть русскоговорящие сотрудники. У Comodo нет, но они разрешают ответить на звонок любому вашему сотруднику, который говорит по-английски.

А вообще к телефону позовут того, кто указан административным контактом. Обычно спрашиваю название организации, доменное имя, на которое заказан сертификат и название самого сертификата.

 

Будьте внимательны, и всё у вас получится! Когда пришлют сертификат — установите его с Vepp, это проще простого.

Vepp — самый простой сервис для управления сайтом и сервером. Поможет создать сайт на WordPress, установить SSL, привязать домен, настроить почту и ещё много всего. Есть и файловый менеджер, чтобы загрузить txt-файл и подтвердить домен.

 

Vepp — это маленький админ-хранитель вашего сайта. Делает основные настройки сам. Остаётся то, с чем справится даже новичок.

Настя Кузнецова
Редактор