Защита от внешних атак

деляет клиента, и, в случае наличия необходимых прав у клиента, предоставляет ему доступ к системе). Если такая проверка дает ошибку - запрос отвергается. Проверка идентификатора клиентского ключа происходит при каждом запросе, что исключает подделку запросов и / или ответов.

Так как клиент (Интернет-браузер) и клиентский BS-Defender могут функционировать физически раздельно (на разных компьютерах), в настройках BS-Defender’а предусмотрено ограничение доступа к нему ("Только с этого компьютера" - по умолчанию,

"Только допустимым узлам из списка" либо "Без ограничений"). Через один

BS-Defender возможна одновременная работа с несколькими банками или с одним банком, но под разными логинами (требует дополнительной настройки).

Предусмотрена возможность журнализации (логирования) как всего трафика, так и отдельно сбойных запросов.

6.2.2. Аутентификация при работе с двусторонним

Для определения конкретного клиента, сервер приложений RTS, который обслуживает под-

систему Интернет-Клиент, руководствуется идентификатором клиентского ключа (так называемый UID). В качестве UID в системе, как правило, используется одно из свойств сертификата (например, его серийный номер). Получив от Web-сервера информацию о клиентском сертификате, содержащуюся в шапке клиентского https запроса, RTS определяет UID клиента, подключившегося к системе. Для этого RTS осуществляет поиск сертификата в хранилище клиентских сертификатов системы и получает из него UID.

Для возможности работы с подсистемой Интернет-Клиент необходимо следующее условие: UID должен быть зарегистрирован в базе данных, с которой работает сервер приложений. При получении запроса, сервер приложений определяет, наличие полученного UID в базе данных, и по результатам проверки начинает (или не начинает) обслуживать запросы от данного клиента. Если UID не найден, на любой запрос от имени данного клиента будет формироваться сообщение об ошибке, и передаваться клиенту.

Ситуация с двумя одинаковыми UID’ми невозможна - в банке заложено ограничение на невозможность применения более одного сертификата (открытого ключа) с одним и тем же UID’ом. Таким образом, достигается персональная идентификация запросов, посылаемых клиентом.

6.2.3. Аутентификация при работе с односторонним SSL (парольная и криптографическая)

В случае использования одностороннего SSL соединение с сервером защищается только банковскими персональными ключами, зарегистрированными только на WEB-сервере.

Таким образом, к WEB-серверу сможет подключиться любой пользователь, даже не обладающим правом работы с подсистемой Интернет-Клиент . Для обеспечения правомочности входа в АРМ клиента подсистемы Интернет-Клиент в обязательном порядке выполняется аутентификация с использованием пароля. Как опциональный способ аутентификации, может быть включен режим аутентификации по ключам СКЗИ («криптографической аутентификации»).

Защита от внешних атак

При обращении к SSL-сайту у клиента в статусной строке окна Internet Explorer появляется

символ замка -. Щелкнув два раза мышкой по этому символу, можно просмотреть информацию о серверном сертификате. Таким образом, кроме автоматической аутентификации сервера при установлении защищенной сессии возможна визуальная аутентификация сервера.

6.2.3.1. Парольная аутентификация

Для входа в подсистему Интернет-Клиент используется пара «логин-пароль».

Назначение логина и пароля происходит в момент генерации дистрибутива АРМ клиента подсистемы Интернет-Клиент . При генерации, пароль присутствует только на бумажном носителе (распечатывается на указанном принтере, может быть применен специальный принтер, пропечатывающий значение пароля внутри закрытого конверта), в базе данных банка хранится только результат ХЕШ-функции от пароля. Таким образом, достигается секретность назначаемого пароля - все операции с паролем осуществляются только между получаемыми результатами ХЕШ-функций и сохраненными значениями ХЕШ-функций.

Логин – он же идентификатор клиента, на основе которого открывается сессия на RTS-сер- вере.

При входе в подсистему Интернет-Клиент на требование ввести логин и пароль, клиент должен будет ввести полученные с дистрибутивом значения. Если пароль будет введен трижды неверно (количество настаивается), он считается скомпрометированным, и учетная запись блокируется. Для разблокировки клиенту необходимо обращаться в Отделение Банка, выдавшего дистрибутив подсистемы Интернет-Клиент .

После входа в подсистему Интернет-Клиент , пароль может быть переназначен (изменен) самим пользователем. В этом случае, пароль в БД банка в открытом виде также не сохраняется, а сохраняется результат ХЕШ-функции от нового пароля.

К паролям пользователей могут быть предъявлены дополнительные требования: минимальная длина пароля, срок действия пароля и т.д. Также может быть запрещено использование простых паролей (см. разд. 4.8.1.2.3.4 «Обеспечение проверки идентификационных призна-

ков пользователей» док. Полное руководство пользователя).

Для обеспечения дополнительной защиты системы от несанкционированного доступа имеется возможность выполнять проверку идентификационных признаков пользователя. В качестве идентификационных признаков пользователей используются внутренний и внешний IPадрес сетевого интерфейса и / или MAC-адреса сетевых карт, установленных в рабочих станциях пользователя (см. разд. 4.8.1.2.3.4 «Обеспечение проверки идентификационных признаков пользователей» док. ). Передача адресов на сервер системы выполняется при установлении соединения.

6.2.3.2. Криптографическая аутентификация

К имеющейся аутентификации по «логин-паролю», может быть включена так называемая «Аутентификация по ключам СКЗИ». В момент генерации дистрибутива Интернет-Кли- ент клиенту всегда выдается комплект персональных криптографических ключей для обеспечения юридического подтверждения подлинности и достоверности пересылаемых в банк электронных платежных документов. Соответственно, при входе в подсистему ИнтернетКлиент эти же ключи могут быть использованы и для аутентификации.

Защита от внешних атак

Рассмотрим последовательность операций при криптографической аутентификации:

1. После прохождения парольной аутентификации, сервером генерируется специфичная и уникальная для текущего сеанса связи для данного пользователя последовательность данных.

2. Эта последовательность сохраняется в сессионном кеше на банковской стороне; устанавливается блокирующий флаг, запрещающий открытие сессии до тех пор, пока сервер не получит от клиента подпись этого блока данных.

3. Последовательность передается на клиентскую сторону.

4. Клиент из списка возможных крипто-профилей (подписей) выбирает и подписывает выбранным полученную последовательность.

5. Подпись, без подписанной последовательности передается в банк.

6. На банковской стороне, из сессионного кеша восстанавливается уникальная последовательность.

7. Выполняется проверка полученной подписи под восстановленной последовательностью.

8. Если подпись верна, то производится снятие блокирующего флага и вход в сессию «Ин- тернет-клиента».

9. Если подпись не верна, формируется сообщения об ошибке, и возврат на пп. 4.

6.2.4. Использование сеансовых ключей при работе с подсистемой Интернет - Клиент

Дополнительно к аутентификации пользователей подсистемы "Интернет-Клиент" посредством паролей, возможно использование аутентификации пользователей по сеансовым ключам, сгенерированным в системе "ДБО BS-Client" или с помощью аппаратного устройства eToken PASS (см. разд. 4.8.2.1.1 «Генерация комплектов сеансовых ключей в системе "ДБО BS-Client"» док. Полное руководство пользователя ). При использовании данного механизма пользователь получает полноценный доступ к подсистеме только после ввода запрашиваемого системой ключа. В случае если ключ не был введен пользователь получает ограниченный доступ к подсистеме, без возможности выполнения криптографических операций над документами.

6.2.5. Использование сеансовых ключей при работе с подсистемой Телефон - Клиент

Для получения возможности работы с персональными данными (получение информации по счетам, выполнение платежей и т.д.) клиент должен пройти авторизацию в подсистеме Те- лефон-Клиент (ТК). В качестве набора авторизационных данных используется так называе-

мый «комплект», состоящий из PIN-кода и комплекта сеансовых ключей (КСК).

Как PIN-код, так и СК представляет собой набор цифр, длина которого находится в пределах от 3-х до 10-ти символов (устанавливается администратором при генерации).

Защита от внешних атак

PIN-код является уникальным в рамках системы "ДБО BS-Client".

СК используется для повышения уровня безопасности при доступе к данным через Телефонклиент.

СК может обладать уникальностью либо в рамках отдельного комплекта, либо в рамках системы в целом, либо не обладать уникальностью вообще. СК может быть как одноразовым, так и многоразовым.

Телефон-клиент обладает гибким механизмом настройки политики безопасности:

ограничение срока действия набора СК;

возможность однократного или многократного использования СК;

разрядность PIN-кода и СК;

различные виды уникальности СК;

возможность замены как «конверта» в целом, так и его отдельных составляющих (PINкод, СК);

формирование документов на основе персональных шаблонов.

6.3. Фильтрация запросов пользователей в подсистеме Интернет - Клиент по IP и MAC-

В качестве дополнительного средства защиты от внешних атак в подсистеме Интернет-Кли- ент может быть использована фильтрация запросов пользователей:

по внутренним и внешним IP-адресам сетевого интерфейса;

MAC-адресам сетевых карт, установленных в рабочих станциях пользователей.

Для каждого пользователя подсистемы может быть задан список разрешенных IP и MACадресов с которых может быть выполнено соединение с сайтом подсистемы (см. разд. 4.8.1.2.3.4 «Обеспечение проверки идентификационных признаков пользователей» док. Полное руководство пользователя ).

Настройка платежных систем

Настройка платежных систем во многом зависит от того как предоставляет связь со своими терминалами сам оператор платежной системы. Как правило если используются терминалы городских платежей, то используется защищенное SSL-соединение и вам нужно включить и настроить для связи с терминалами SSL WEB-сервер как показано ниже. Если для проведения платежей используются веб-сайты в интернете, то как часто в таких случаях нужно настраивать именно http сервер на Carbon Billing. Предварительно обязательно уточните у вашего оператора платежных систем по какому именно протоколу связи он предоставляет подключение к своим терминалам оплаты перед настройкой Carbon Billing.
SSL WEB-сервер для платежей имеет несколько параметров, значения которых описаны ниже.

Включить SSL WEB-сервер для платежей - Если оператор платежной системы осуществляет работу с терминалами оплаты по SSL, то нужно включить именно SSL WEB-сервер.
IP-адрес для подключения по HTTPS - адрес для подключения терминалов или сайтов платежных систем для проведения платежа клиенту в БД Carbon Billing.
Порт для подключения по HTTPS - по умолчанию используется порт 1443. Если есть необходимость изменить этот порт, то по возможности указывайте порты выше 1024.
Разрешенные адреса клиентов для SSL WEB-сервера
Домен для сертификата серверного SSL - укажите здесь ваш публичный домен или отдельно зарегистрированный для сервера платежей на Carbon Billing домен. Опция не обязательна и позволяет обратится к SSL- WEB-серверу по доменному имени вместо IP-адреса.
Требовать и проверять клиентский сертификат - Обязательно отметить если настраиваете веб-интерфейс кассира. Если настраиваете работу с платежной системой, то уточните необходимость проверки клиентского сертификата у оператора платежной системы.
Создать клиентский сертификат - Будет создан клиентский сертификат, который нужно будет предоставить оператору платежной системы. Сертификат с суффиксом.pfx будет доступен на сервере в каталоге /var/lib/usrcert и будет иметь имя файла равное CN-имени, указанном вами при создании сертификата. Скачать файл сертификата с сервера можно программой winscp.

В случае настройки HTTP WEB-сервера для платежей.

Включить HTTP-сервер для платежей - Если оператор платежной системы осуществляет работу с терминалами оплаты по открытому http-соединению, то включите именно HTTP-сервер.
IP-адрес для подключения по HTTP - Адрес веб-сервера для подключения к нему терминалов или серверов платежей.
Порт для подключения по HTTP - по умолчанию используется порт 1444. Если есть необходимость изменить этот порт, то по возможности указывайте порты выше 1024.
Разрешенные адреса клиентов для HTTP-сервера - если не указано, то доступ будет открыт всем.

Если вы пользуетесь услугами операторов платежных систем, указанных ниже на этой вкладке, то включите соответствующие им пункты меню. В будущем эти флажки будут устанавливать специфичные настройки системы, необходимые для каждого из используемых вами операторов. Если ваш оператор не входит в число перечисленных ниже, то не включайте ни один из них.

При настройке системы платежей Robokassa не забудьте указать секретный пароль, необходимый для организации соединения между терминалом и сервером.

Критичность параметра subjectAltName ssl-сертификатов

При генерации ssl-сертификатов для сервера, например для https-сервера платежей, используется расширение subjectAltName. Исторически по дефолту это расширение в сертификате помечается как критическое, что может привести к проблемам при интеграции биллинга с некоторыми платежными системами.

При генерации клиентских сертификатов subjectAltName не задается.

Критичность параметра отменяется опцией в локальной консоли "Конфигурирование сервера - Дополнительные настройки - Настройки для разработчиков - Не делать SSL параметр AltName критичным".

После включения этой опции все вновь созданные серверные сертификаты будут генерироваться с некритичным расширением subjectAltName. Старый сертификат для https-сервера платежей придется перегенерировать вручную следующим образом:

1. Перемонтируем в rw раздел, на котором лежит конфиг (для этого должен быть включен режим удаленного помощника):

Mount -o rw,remount /mnt/bk_disc/

2. Открываем редактором файл /etc/ics/ics.conf и комментируем строку с MHTTPD_F_CERT .

3. Перезапускаем https-сервер платежей:

/etc/init.d/mhttpd_F restart

Смена сертификата у https-сервера платежей никак не затрагивает сгенерированные ранее клиентские сертификаты для кассиров или платежных систем.

Настройка приема платежей по http без шифрования

При необходимости производить прием платежей от платежных систем по незащищенному протоколу http необходимо произвести следующие настройки:

1) Включить http сервер для приема платежей.

2) Указать IP адрес, на котором должен работать прием запросов. Этот адрес должен принадлежать одному из интерфейсов Carbon Billing:

Затем указать порт, на котором будет принимать запросы запросы сервер.

3) Сделать список IP адресов, с которых будут приниматься запросы. Это очень важный шаг поскольку http не подразумевает авторизацию платежной системы через сертификат:

По умолчанию с HTTP могут работать протоколы платежной системы Робокасса и Уникасса. Если необходимо, к примеру, принимать запросы на http по протоколу ОСМП то необходимо сделать следующее:

1) Загрузить сервер в режиме уд. помощника и подключиться по ssh под пользователем root.

2) Выполнить следующие команды:

Mount -o rw,remount /mnt/ro_disc chattr -i -R /var /www/fiscal/htdocs/http/ cp /var /www/fiscal/htdocs/osmp.php /var /www/fiscal/htdocs/http/osmp.php chown mhttpd_F:mhttpd_F /var /www/fiscal/htdocs/http/osmp.php

Нужно отредактировать строку в скрипте:

Mcedit /var /www/fiscal/htdocs/http/osmp.php строку: include "../include/class_page.php"; заменяем на: include "../../include/class_page.php";

Сохраняем файл и выходим из редактора.

После мягкой перезагрузки модуль приема платежей по протокол ОСМП будет доступен по адресу http://1.1.1.1:1444/osmp.php с IP-адреса 2.2.2.2.

Доступ при отрицательном балансе

Может быть реализован двумя способами:

• Через редактор правил и сетей тарифа ;
• Через [файл доп.настроек ics_tune.sh]

Начать бизнес можно с малого. Например, организовать перепродажу доменов и SSL-сертификатов. Вы находите клиентов для действующих продавцов и получаете вознаграждение в виде скидки и маржи - иначе говоря становитесь реселлером. Быстро настроить реселлинг доменов и SSL-сертификатов можно с помощью программного обеспечения ISPsystem.

Важно! Мы рекомендуем начать не с технической реализации, а с бизнес-модели и юридической стороны вопроса. Определите целевую аудиторию и способы ее привлечения, разработайте выгодную для себя и клиентов ценовую политику. Изучите правовую и бухгалтерскую базу. Только после этого переходите к техническому воплощению плана.

Что нужно для начала

Чтобы стать реселлером доменов и SSL-сертификатов, понадобится:

1. виртуальный сервер (VPS/VDS),
2. соглашение с продавцами доменов и SSL-сертификатов,
3. соглашение с платежной системой,
4. биллинговая платформа для приема платежей,
5. сайт для продажи услуг.

Установка и настройка программного обеспечения

Для перепродажи доменов и SSL-сертификатов вам понадобится установить на арендованный виртуальный сервер BILLmanager.

Интеграция с продавцами доменов и SSL

Чтобы настроить интеграцию, используйте данные от продавцов доменов и SSL, с которыми вы заключили соглашение. Как правило, для интеграции необходимы URL доступа к API, код реселлера и ключ авторизации для API. В зависимости от компании данные могут различаться.

После этого в BILLmanager в меню Интеграция - Обработчики услуг вы сможете настроить перепродажу.

Также вы можете начать перепродавать SSL сертификаты через ISPsystem. Вам не нужно будет договариваться с регистратором напрямую. Для этого в разделе “Обработчики услуг” выберите BILLmanager 5 и введите данные личного кабинета my.ispsystem.com.

Подключение платежных систем

Чтобы клиенты могли оплачивать услуги, настройте способы оплаты. BILLmanager содержит более 30 модулей оплаты: Яндекс.Деньги, WebMoney, PayMaster, Qiwi, PayPal, Банковский перевод и другие .

Для работы с определенной платежной системой вы и ваши клиенты должны иметь счет или аккаунт в этой системе. Поэтому выбирайте наиболее популярные сервисы. Для настройки интеграции понадобятся данные от платежной системы: номер кошелька и секретный ключ.

Клиенты будут перечислять средства со своего счета на ваш. Поступление средств отразится в вашем кабинете и кабинете клиентов в BILLmanager.

Для приема платежей от физлиц можно подключить простые электронные системы вроде Яндекс.Кассы или WebMoney. Юрлица оплачивают услуги банковским переводом по выставленному счету, поэтому для работы с ними подключите метод оплаты Банковский перевод (Российский банк). Внесите банковские данные своей организации. Подключение к платежным системам.

Настройка шаблонов документов

В BILLmanager есть предустановленные шаблоны документов: счета, акта выполненных работ, акта сверки, договора на услуги, приложения к договору. Отредактируйте их в соответствии с вашими правилами предоставления услуг.

Чтобы соответствовать требованиям законодательства, создайте и опубликуйте на своем сайте Политику конфиденциальности и Условия использования . Ссылку на эти документы добавьте в меню Настройки - Настройки бренда - Авторское право . При составлении политики обработки персональных данных, следуйте рекомендациям Роскомнадзора . Настройка шаблонов документов и сообщений

Настройка почты и шаблонов сообщений

BILLmanager содержит более 60 шаблонов для создания рассылок. Клиенты получат письма при регистрации, заказе услуг, выставлении счета. Биллинг уведомит об окончании срока действия услуг. Также можно настроить шаблоны для SMS сообщений и массовых рассылок. В панели можно изменить вид сообщений.

Настройка интеграции с сайтом

Интеграция с сайтом

Для продажи услуг информацию о них надо разместить в открытом доступе. Если у вас есть сайт, настройте отображение услуг на нем. Подготовьте изображения и описания тарифов и сгенерируйте в BILLmanager ссылку на конкретный тарифный план с нужным периодом оплаты. При переходе по ссылке пользователь сразу попадет на страницу покупки выбранного товара. Настройка интеграции BILLmanager с сайтом

Карточки товаров и услуг

Быстро разместить тарифы на сайте можно с помощью инструмента “Витрина”. Инструмент позволяет добавить на сайт карточку одной или нескольких услуг, чтобы пользователь мог выбрать нужную и заказать. Цены в карточках обновляются автоматически.

Для добавления карточки необходимо разместить специальный скрипт в том месте, где вы хотите ее отображать. Скрипт найдете в документации: Интеграция витрины в существующий сайт.

Брендирование

Переходя с вашего сайта в личный кабинет в BILLmanager, клиенты могут чувствовать несоответствие: сайт и биллинг оформлены по-разному, адрес биллинга содержит IP-адрес сервера и отличается от адреса сайта.

Чтобы “уровнять” стили, выполните настройки бренда : добавьте в биллинг свой логотип, измените цвет интерфейса, опубликуйте ссылки на сайт. Чтобы URL биллинга не отличался от сайта, настройте адрес для BILLmanager . Например, у компании CloudLite адрес сайта cloudlite.ru , адрес биллинга - myvdc.cloudlite.ru.

Приятные новости ноября 2016 года для наших дорогих клиентов и пользователей сайта сайт. Наш интернет-магазин не стоит на месте, регулярно обновляя не только ассортимент товарных предложений, но и расширяя функционал сайта, его безопасность для пользователей и значимость в глобальной системе Интернет. Итак, 26 сентября 2016 года интернет-магазин сайт получил сертификат SSL с расширенной проверкой, а с 1 ноября 2016 года после тестирования и улучшения алгоритмов работы мы подключили на сайт платежные системы!

Теперь рассмотрим подробнее необходимость данных действий и какие плюсы получают от этого наши драгоценные клиенты?

Основным визуальным плюсом, который каждый клиент может заметить, - это возможность оплатить ОНЛАЙН банковской картой любой заказ из нашего интернет-магазина и принять его по удобному адресу. Что же касается внутреннего, скрытого достоинства обновлений сайта - сертификат SSL - это специальный способ шифрования сайта между глобальной сетью Интернет, браузером и пользователем сайта, другими словами это то, что теперь сайт защищен от возможности атаки и завладения Вашей платежной (и даже контактной) информации третьими лицами. Для получения сертификата SSL нашему сайту необходимо было пройти проверку реального существования организации, подтверждения получения и привязки сертификата к домену и интегрирования новой системы защищенного сайта на привычный всем интернет-магазин сайт. Отныне пользователи нашего сайта могут быть полностью уверены в безопасности пользования нашим удобным и современным сайтом, совершать покупки и не бояться за утечку своих данных третьим лицам.

Кстати, мы также не стоим на месте в расширении возможностей получения наших заказов и с осени 2016 года мы начали предлагать нашим клиентам возможность получения заказов новыми способами доставки - курьерской службой СДЭК и через почтоматы компании inPost. Обе службы присутствуют во многих крупных городах России, стоимость их услуг весьма демократичная, а скорость работы иногда поражает даже любителей дорогих и качественных курьерских служб! Советуем попробовать воспользоваться новыми способами доставки, это сэкономит Ваше время и деньги, и подарит Вам приятные впечатления от получения товаров.

Наш интернет-магазин сайт является современной, динамично развивающейся компанией, предлагая нашим клиентам самые современные и безопасные способы оплаты и получения наших заказов. Следите за обновлениями, которые грядут быть грандиозными и глобальными, как в расширении ассортимента, так и в предоставлении бОльших возможностей нашим драгоценных клиентам!!

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Мир помешался на интернет-безопасности. Если вы в тренде и переписываетесь исключительно в «Телеграме», то почитайте про то, как установить на сайт защищенного соединения . Он пригодится в любом случае, а если вы интернет-магазин, то без него вообще нельзя будет обойтись. Попутно расскжем про сертификаты : что это такое и для чего они нужны.

Что такое HTTPS

Это протокол защищенного соединения. Он шифрует информацию, которой обменивается сервер и браузер пользователя – это помогает защитить данные о паролях, номерах кредиток и адресах электронной почты. Использование HTTPS сильно и делает его немного привлекательнее в глазах поисковых систем – Google ранжирует защищенные сайты выше, чем незащищенные. Чтобы включить протокол HTTPS на своем сайте, нужно сперва установить на сервере SSL-сертификат.

Для чего нужен сертификат SSL

Он формирует уникальную цифровую подпись сайта, которая и помогает защитить соединение. Без сертификата SSL получить протокол HTTPS не получится, как ни старайся. В нем содержится:

• домен сайта;
• полное юридическое название компании-владельца;
• физический адрес компании;
• срок действия сертификата;
• реквизиты разработчика SSL.

Сертификат понадобится и для подключения любой платежной системы, например «Яндекс.Денег». Логика простая – никто не позволит вам рисковать чужими деньгами.

Как выбрать SSL-сертификат

Они делятся на два типа, в зависимости от степени защиты и .

Domain Validation SSL

Самый простой вариант. Заработает после того, как вы подвтердите владение доменом. Сделать это можно тремя способами:

• Через E-mail. Вам на почту придет письмо с инструкцией по верификации. В качестве адреса отправки выбирается либо почта из Whois домена, либо ящики админа или вебмастера.

• Через запись в DNS. Если у вас настроен сервер электронной почты, создайте специальную запись в DNS. По ней система и подтвердит, что вы действительно владелец сайта. Метод автоматизирован и подходит тем, у кого почта Whois скрыта в настройках.

• Через хэш-файл. Разместите специальный.txt файл у себя на сервере, чтобы центр сертификации смог установить его наличие.

Такая верификация подойдет, если у вас личный блог или небольшой офлайновый бизнес, потому что она не позволяет защищать субдомены и проводить финансовые операции. Плюс, для подтверждения чистоты домена и ваших помыслов не требуется делать ничего сложного, а готовый сертификат делается быстро.

Business Validation

Этот вид сертификата SSL надежней, потому что вы подтверждаете факт связи компании с сайтом. Для этого нужно отправить в верификационный центр несколько документов и принять звонок на корпоративный номер. Business Validation-сертификаты делятся на 3 вида:

• Extended Validation SSL. Это сертификаты с расширенной проверкой. Они нужны всем, кто работает с большим объемом денег: банкам, крупным интернет-магазинам, финансовым компаниям, платежным системам.

• Wildcard SSL. Такой сертификат защищает и сам сайт, и его поддомены. Причем их может быть любое количество, а располагаться они могут на разных серверах. Обязателен, если вы используете поддомены с разной региональной привязкой или разными проектами.

• SAN SSl. Главное преимущество этого типа сертификата – поддержка альтернативных доменных имен: и внешних, и внутренних.

• CodeSigning SSL. Подтверждает кода и программных продуктов с сайта. Подойдет разработчикам любых приложений.

Можно ли установать на свой сайт бесплатный SSL-сертификат?

Да. Большинство таких продуктов платные, но есть и варианты, за которые не придется отдавать деньги. Это базовые сертификаты с валидацией по домену. Они не позволят прикрутить к ресурсу онлайн-кассу, но защитить соединение пользователя с сервером смогут. Такие SSL подойдут небольшим информационным сайтам или офлайн-бизнесам. Пример – базовый сертификат StartSSL .

Установка сертификата SSL

Сперва нужно сгенерировать запрос CSR на получение сертификата. В нем содержится вся информация о хозяине домена и открытый ключ. Большинство поставщиков SSL позволяют сделать это в процессе заказа сертификата, но сгенерировать запрос можно и на стороне веб-сервера.

В процессе генерации ключа CSR нужно указать:

• Имя сервера: «site.com» или «*.site.com», если получаете WIldcard сертификат. Звездочка означает любое количество любых символов перед точкой.
• Код страны: RU, UA, KZ и так далее.
• Область, например, Saratov Region.
• Город.
• Полное название организации или имя владельца сайта.

Запрос CSR отправляется в центр верификации. На выходе вы получаете сертификат SSL и файл с приватным ключом, который нельзя терять и выкладывать в открытый доступ.

После этого нужно установить сертификат на веб-сервер. Рассмотрим случаи с Apache и nginx.

Apache

Чтобы это сделать, нужно загрузить на сервер все сертификаты: и основные, и промежуточные. Первым делом нужно последний в директорию /usr/local/ssl/crt (используется по умолчанию, в вашем случае может отличаться). В ней будут храниться все сертификаты.

После этого скачайте основной сертификат, откройте его в любом текстовом редакторе и полностью скопируйте содержимое вместе со строчками «BEGIN» и «END».

В директории /ssl/crt/ создайте файл vashsite.crt и вставьте в него содержимое сертификата.

Файл приватного ключа переместите в директорию /usr/local/ssl/private/

В файле VirtualHost добавьте строки:

SSLEngine on

SSLCertificateKeyFile /usr/local/ssl/private/private.key

SSLCertificateFile /usr/local/ssl/crt/vashsite.crt

SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt

Указывать нужно действительные пути до файлов. Сохраните изменения и перезапустите сервер.

nginx

Здесь процесс установки SSL сертификата немного отличается. Сначала нужно объеденить корневой, промежуточный и SSL-сертификаты в один. Для этого создайте файл vashsite.crt и вставьте туда содержимое сертификатов вместе со строчками «BEGIN» и «END» (порядок: SSL, промежуточный, корневой). Пустых строк быть не должно.

Почти то же самое нужно сделать и с приватным ключом – создать файл vashsite.key и перенести содержимое ключа, загруженного с сайта поставщика.

Оба файла (vashsite.crt и vashsite.key) поместите в директорию /etc/ssl/ (она используется по умолчанию, но может отличаться).

В файле с конфигурациями отредактируйте VirtualHost. Добавьте:

server{
listen 443;
ssl on;

ssl_certificate /etc/ssl/vashsite.crt;
ssl_certificate_key /etc/ssl/vashsite.key;
server_name vashsite.com;

Если директория с сертификатом и ключом отличается от дефолтной, поменяйте ее.

Теперь сохраните изменения и перезапустите nginx.

Как получить рабочее HTTPS-соединение

После установки сертификатов SSL сайт станет доступен по двум адресам: http://vashsite.com и https://vashsite.com. Вам нужно оставить только последний. Для этого настройте файл robots.txt и сделайте 301-редирект со старого сайта.

В «robots» нужно обновить host. Пример: Host: https://vashsite.com. Для настройки редиректа нужно добавить в файл.htacsess строчки:

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)$ https://vashsite.com/$1 .

Теперь осталось сообщить об изменениях поисковикам. В «Вебмастере» «Яндекса» добавьте страницу с https и укажите ее как главное для старого сайта.

Итоги

Мы разобрались, что такое https, как установить его на свой сайт и как настроить все правильно. Этот протокол уже стал стандартом соединения и со временем на него перейдут все живые сайты. Этот процесс поощрают поисковики – наличие установленного протокола защищенного соединения HTTPS стало одним из факторов ранжирования. Поэтому, если хотите попасть в топ, установить его придется.