Ssl сертификаты symantec site starter. SSL-сертификаты Symantec теперь бесплатны. Как будет происходить перевыпуск сертификатов

Бесплатный SSL-сертификат для сайта в чем подвох? – Бидюков Денис

Ssl сертификаты symantec site starter. SSL-сертификаты Symantec теперь бесплатны. Как будет происходить перевыпуск сертификатов

Если Вы по какой-то причине озадачились бесплатным SSL-сертификатом для своего сайта, то я Вам советую сто раз подумать прежде чем связываться с бесплатными сертификатами, а точнее с центрами, которые выдают таковые сертификаты.

Как и все бесплатное, бесплатные сертификаты своего рода сыр в мышеловке, в эту мышеловку попался и я.

Наверняка Вы слыхали про китайские сертификаты, которые выдавались аж на три года, а тут ещё гугл с яндексом как сговорились, говорят мол будем делать а-я-яй сайтам без сертификатов, а тут уже и хостеры подхватили эту тему и давай сертификаты впаривать налево и направо не разбираясь надо это вообще сайту или нет.

Так ли нужен сертификат сайту?

Наличие сертификата это всегда здорово, особенно если это сертификат, например, типа EV стоимостью несколько тысяч рублей в год. Если на Вашем сайте установить такой сертификат, то в адресной строке рядом с адресом Вашего сайта поселится название Вашей организации:

Но такой сертификат могут получить только юридические лица после длительной проверки организации. Но мы то хотим халявы!

Одним из популярных центров, которые которые раздают халявные бесплатные сертификаты, является StartSSL. Долгое время люди переводили свои сайты на эти сертификаты, писали кучи статей о том, как получить бесплатный сертификат.

Затем всем известные WoSogn со своими сертификатами на 3 года. Вот и я повелся на халяву прикрутив себе халявный сертификат от наших китайских друзей. Был ли от этого явный прирост посещаемости? Вряд ли.

Во всяком случае прирост был не больше чем погрешность ибо динамика роста практически осталась той же какой была и до установки сертификата.

Все шло замечательно пока Opera, которой я пользуюсь в качестве основного браузера, не показала мне интересное сообщение при очередном посещении моего сайта:

«Твою же ж мать….» – прозвучало в моей голове, а потом я пошел проверять как сайт открывается в других браузерах, как оказалось на тот момент только Opera послала нафик сертификат от WoSogn.

К слову сказать на тот момент основным зеркалом сайта был домен с www, мне бы дураку свалить по тихой с этого SSL, но дурная голова, как понимаете, не дает покоя.

В итоге был взят халявный сертификат от хостера на 1 год и вот тут меня ждала западня, поскольку данный сертификат был типа «1d», то есть сертификат выдается только на домен site.ru, а на www.site.ru сертификата нет. Вот и получилось что я своими руками обвалил трафик своего сайта.

Вероятные проблемы с сайтом

Обратите внимание на то, что даже платные сертификаты могут не поддерживаться некоторыми браузерами, по этой причине перед тем, как выбрать центр сертификации обратите внимание на то, какие браузеры поддерживают корневые сертификаты этого центра.

В случае с бесплатными сертификатами, центр, который выдал Вам сертификат, не несет перед Вами ответственности и ничего не гарантирует и в случае если сертификаты будут отозваны или их перестанут поддерживать основные браузеры, то у Вас, точнее у Вашего сайта возникнут проблемы в виде такоо сообщения:

Как видите я не могу зайти на такой сайт даже при большом желании, браузер мне этого в принципе не дает. В конечном итоге от бесплатного сертификата пользы Вы не получите, а вот проблем от непредвиденных обстоятельств Вы наверняка огребете.

А вот собственно дополнение спустя несколько месяцев. Привожу статистику посещаемости. Проблемы с бесплатным сертификатом, а точнее проблемы вызванные с отказом поддержки сертификатов браузерами, привели к падению трафика, которое сайт отыграл только в августе (см. фото).

Как видите вместо роста в апреле был спад, учитывая что рост должен был составить примерно 13%, то из-за, простите, сраного сертификата, я не досчитался нескольких тысяч посетителей.

Какие типы сертификатов бывают

Новичкам, которые решили приобрести себе сертификат для своего сайта на первых порах достаточно трудно разобраться в их обозначении и предназначении, а их, этих типов, достаточно много и у каждого не только свое предназначение, но и стоимость существенно отличается.

По типу верификации сертификаты делятся на три типа:

  1. EV SSL – это сертификаты не только повышенной надежности, но и стоимости и выдается только организациям. Перед выпуском сертификата проверяется право владения доменом, а организация, которая запросила сертификат, подвергается тщательной проверке.
  2. OV SSL – аналогичен сертификату EV, но с той лишь разницей что доступен как юридическим лицам, так и физическим лицам. Организация или физическое лицо, которые запросили сертификат, подвергается не такой серьезной проверке.
  3. DV SSL – этот тип сертификата подразумевает только проверку владения доменом и выпускается автоматически. Это самый дешевый сертификат.

Сертификаты делятся по поддержке доменов на три типа:

  1. 1d – данный тип сертификат выдается только для одного домена и если Вы хотите сертификаты для домена с www и без него, то придется купить два сертификата.
  2. 1d+www – этот тип сертификата позволяет использовать домен как с www, так и без него. Если хотите использовать адрес www.site.ru, то Вам необходимо приобрести сертификат именно этого типа. Заказывать необходимо на домен с www.
  3. w.card – самый дорогой тип сертификата поскольку выдается на домен и все поддомены включая www. Такой тип сертификатов нужен разве что крупным проектам.

Конечно же бесплатные сертификаты не имеют подобной типизации поскольку Вам дают возможность выпустить кучу сертификатов на каждый домен, то есть один сертификат на site.ru, второй на www.site.ru, третий на blog.site.ru и т.д.

Но если углубиться в тему сильнее, то типов сертификатов несколько больше:

  1. Esential SSL – самый простой и дешевый тип сертификатов, которые выдается на 1 домен. Выдается как правило очень быстро и проверяется только владение доменом. Бесплатные сертификаты все без исключения именно этого типа.
  2. Instant SSL – данный тип сертификатов выдается на 1 домен и доступен как физическим так и юридическим лицам. Проверяется владение доменом и регистрационные данные компании или личности физического лица.
  3. SGC – тип сертификатов аналогичный Instant SSL, но с поддержкой повышения уровня шифрования. Актуально для тех, кому необходима поддержка старых браузеров с 40 и 56 битовым шифрованием. На вскидку, на ум приходят только банки или большие корпорации с кучей старого железа.
  4. Wildcard – как и писалось выше, данный тип сертификатов выдается для домена и все его поддомены. Если вдруг решите купить такой сертификат, то есть смысл посчитать количество поддоменов и прикинуть что дешевле, один сертификат на каждый поддомен или w.card-сертификат.
  5. SAN – полезен тем, кто хочет использовать один сертификат на нескольких разных доменов, которые размещены на одном сервере. Насколько мне известно данный сертификат обычно выдается на 5 доменов и увеличение происходит на 5. То есть если Вам нужен сертификат на 7 разных доменов, то скорее всего придется прикупить сертификат на 10 доменов.
  6. EV (Extended Validation) – этот тип сертификатов выдается только юридическим лицам, коммерческим, некоммерческим или государственным организациям и подразумевает глубокую проверку организации. На выпуск сертификата уходит от 10 до 14 дней.
  7. EV Wildcard – аналогично Wildcard но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.
  8. EV SGC – аналогично SGC но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.

Сертификаты c поддержкой IDN

IDN (англ. Internationalized Domain Names) – доменные имена, которые содержат символы национального алфавита, например сайт.рф.

Не все центры сертификации указывают наличия поддержки IDN-доменов, но и далеко не все имеют эту поддержку и вот список некоторых из центров, которые поддерживают такие домены:

  • Thawte SSL123 Certificate
  • Thawte SSL Web Server
  • Symantec Secure Site
  • Thawte SGC SuperCerts
  • Thawte SSL Web Server Wildcard
  • Thawte SSL Web Server with EV
  • Symantec Secure Site Pro
  • Symantec Secure Site with EV
  • Symantec Secure Site Pro with EV

Где и как получить сертификат

Поскольку я категорически не советую Вам использовать бесплатный сертификат, то вариантов у нас в принципе не так уж и много. Что бы не заморачиваться нюансами процесса выпуска сертификата с последующей установкой, то есть смысл рассмотреть переезд к хостеру, который сделает все за Вас, Вам останется всего лишь это оплатить.

Поэтому вместо того, что бы заморачиваться изучением темы SSL-сертификатов, лучше заморочиться хостером, который сделает все за Вас. Из всего великого множества хостинов могу посоветовать следующие:

Хостинг от СпейсВеб

Услугами этого хостера я пользуюсь достаточно давно и претензий к его работ нет в принципе. Перед нами достаточно богатый выбор, начиная от бесплатного, заканчивая EV:

Как мы видим нам дают возможность получить бесплатный сертификат (на 1 год, после завершения срока действия сертификата необходимо будет приобрести платный), а так же приобрести более расширенный. На данный момент представлено всего три центра сертификации:

Ссылка на сайт хостера: https://sweb.ru/

Если вдруг решитесь заказать там хостинг, то укажите промокод: UMMIAZED

Хостинг от REG.RU

Тут к нашему вниманию сертификаты только от GlobalSign, во всяком случае на странице приведены сертификаты только от этого центра.

  • https://www.reg.ru/ssl-certificate/

Самый дешевый сертификат AlphaSSL за 1499 рублей:

Но кроме всего прочего REG.RU обещает бесплатный сертификат на год, того же GlobalSign при заказе услуги хостинга. Стоит отметить тот факт, что в отличии от СпейсВеб, который предлагает бесплатный SSL-сертификат на год только 1d без www, то REG.RU предлагает сертификат 1d+www. Собственно ссылка на новость: https://www.reg.ru/company/promotions/5063

Хостинг от Majordomo

Ничего не могу сказать по поводу данного хостинга, привожу его в пример лишь по причине его популярности. Данный хостинг предлагает нам сертификаты от Comodo и за самый простой просит 990 рублей.

Акций с бесплатными сертификатами у этого хостера нет, во всяком случае я таковых там не обнаружил.

Собственно ссылка на страницу с перечнем SSL-сертификатов: https://www.majordomo.ru/ssl

UPD. ЛидерТелеком

На просторах сети попался мне данный сервис. Чем он привлек мое внимание, так это принципом подбора сертификата. Производится он простеньким опросом, где Вы выбираете нужные пункты, которые характеризуют Вашу ситуацию и в конечном итоге Вам предлагается подходящий вариант за умеренную цену.

Для подбора сертификата достаточно пройти на страницу сервиса и потыкать  варианты.

Выводы

Для себя я окончательно решил, бесплатные SSL-сертификаты – категорическое «нет». Пользы практически никакой, а проблемы, в случае отказа в поддержке таких сертификатов, будут серьезные.

На данный момент (Апрель 2017) у меня установлен бесплатный сертификат Symantec Site Starter на один год, по истечении этого года мне придется купить другой сертификат, но у меня есть время подумать перейти ли мне на http или отдать три тысячи за нормальный сертификат.

Не то, что бы я стремаюсь http, скорее мне лень перелопачивать свои статьи в поисках ресурсов подгружаемых через https. Если бы такая статья была написана ранее и попалась бы мне на глаза до того как я решил приобрести себе бесплатный сертификат от WoSign, то я бы отказался в принципе от перехода на https. Решился бы на него только тогда, когда в этом появилась бы жизненная необходимость.

Если на Вашем сайте ничего не продается и не принимаются платежи, то на данный момент нет особого смысла заморачиваться переходом на https, что бы Вам не говорили различные сеошники о том, что https – это фактор ранжирования. Вот только фактор этот на данный момент ничтожен, изменится ли его значимость в будущем? Поживем увидим.

  • Как увеличить посещаемость сайта решая «проблемы» аудитории

Источник: https://dampi.ru/besplatnyiy-ssl-sertifikat-dlya-sayta-v-chem-podvoh

SSL-сертификаты

Ssl сертификаты symantec site starter. SSL-сертификаты Symantec теперь бесплатны. Как будет происходить перевыпуск сертификатов

Secure Sockets Layer (SSL) – это протокол безопасности, который используется веб-браузерами и веб-серверами для защиты данных пользователей при их передаче в сети Интернет. Он гарантирует безопасное соединение между сервером и браузером пользователя.

Сертификаты SSL представляют собой небольшие файлы данных, которые связывают ключ шифрования с данными организации (или физического лица, в случае, если сертификат SSL выпускается на данные физического лица).

При просмотре сайтов в веб-браузере SSL-сертификат обеспечивает безопасное соединение между веб-сервером и браузером, о чем свидетельствует наличие значка закрытого “зеленого” замка в адресной строке и префикса “https”, с которого начинается адрес страницы.

В первую очередь SSL-сертификат необходим интернет-магазинам, банкам, платежным системам и другим организациям, работающим с персональными данными, для защиты транзакций и предотвращения несанкционированного доступа к информации. Кроме того, сайты с SSL-сертификатами имеют преимущество в поисковой выдаче.

Среди основных функций SSL-сертификата можно выделить следующие:

  • Защита данных пользователя во время их передачи (операции по банковской карте, передача авторизационных данных для входа и др.).
  • Связь ключа шифрования с данными организации.
  • Проверка подлинности организации и/или домена.

Сертификаты SSL необходимо использовать всем, кто хочет осуществлять безопасную передачу информации в интернете. Решения с поддержкой SSL используются не только для защиты операций по кредитным картам, но и для безопасного обмена всеми видами конфиденциальной информации в сети Интернет.  

Виды SSL-сертификатов и их особенности

Наша компания предоставляет сертификаты, выпускаемые центром сертификации Sectigo (бывший Comodo), а также бесплатные сертификаты, выпускаемые некоммерческим центром сертификации Let's Encrypt.

Сертификаты Positive SSL, Positive Wildcard SSL и Let's Encrypt являются сертификатами с проверкой домена (DV), которые подтверждают подлинность доменного имени. Они не содержат информации о компании и могут быть оформлены на физическое лицо. 

Сертификат EV SSL – сертификат расширенной валидации; он подтверждает подлинность доменного имени и его принадлежность определенной организации. EV SSL оформляется на юридическое лицо – организацию, являющуюся администратором домена. 

Sectigo

Заказ сертификатов Sectigo производится через нашего партнера по регистрации доменных имен – компанию Public Domain Registry.

Sectigo Positive SSL – сертификат, выпуск которого занимает минимум времени, служит для обеспечения защищенного с помощью шифрования соединения. Работает только с одним именем и устанавливается только на домен или поддомен.

Sectigo Positive Wildcard SSL – этот вид сертификата будет работать на домене и всех поддоменах одного домена. Имеет упрощенную процедуру проверки при выпуске. Срок выпуска сертификата составляет несколько часов.

EV SSL – при выпуске данного сертификата производится расширенная проверка организации со стороны Sectigo и могут быть запрошены дополнительные сведения. После установки EV SSL адресная строка сайта окрашивается в зеленый цвет и содержит название компании, для которой он был выпущен. Срок выпуска сертификата составляет несколько дней.

Особенности данных сертификатов:

  • Совместимость практически со всеми браузерами.
  • Обеспечивают 128 или 256-битное шифрование.
  • Поддержка национальных доменов (IDN).
  • Поддержка стандартов TLS 1.2 и X.509v3.
  • Длина ключа 2048 бит.
  • После окончания срока действия сертификат можно продлить в течение 30 дней.

Let's Encrypt

Let's Encrypt – бесплатный сертификат, выпускаемый на срок 90 дней. Сертификат работает только с одним именем и устанавливается только на домен или поддомен.

Let's Encrypt предоставляется только на тарифных планах виртуального хостинга (Year+, Optimo+, Century+, Millennium+, 1Сайт, Eterno, Premium).

Для успешной установки Let's Encrypt должны быть соблюдены несколько условий:

  1. Домен зарегистрирован. 
    Невозможно выпустить сертификат для несуществующего домена. Зарегистрировать домен можно в разделе “Домены и поддомены”.
  2. Домен делегирован на наш сервер, для него указаны корректные A- и AAAA-записи.
    A-запись домена должна соответствовать IP-адресу сервера, где размещен сайт (IP указан на главной странице панели управления). В качестве AAAA-записи домена должен быть указан IPv6-адрес сервера: для применения этой настройки поле “AAAA-запись” в настройках DNS можно просто оставить пустым.  
  3. Домен привязан к директории сайта. 
    Привязку домена можно проверить в разделе “Сайты” панели управления.
  4. Домен не отображает ошибок. 
    При обращении по домену сайт должен открываться корректно. Если в работе сайта фиксируются ошибки (4xx, 5xx), сертификат не может быть выпущен. Проверьте работу сайта и обратитесь в службу поддержки, если вам нужна консультация по устранению ошибок.
  5. Для домена не настроены какие-либо перенаправления. 
    Это касается как настроек в разделе “Сайты” панели управления, так и перенаправлений, заданных через .htaccess.

Также ошибка установки сертификата может возникнуть, если недоступен так называемый “проверочный путь”. При выпуске сертификата создается проверочный файл, который размещается по пути /директория_сайта/public_html/.well-known/acme-challenge/.

Однако настройки отдельных web-приложений могут запрещать размещение файлов по такому пути. В этом случае в панели управления в статусе сертификата будет выведено сообщение “Ошибка”. Для устранения проблемы необходимо обратиться в службу поддержки.

Заказ и установка сертификата

Для пользователей VDS заказ сертификатов осуществляется в разделе “Лицензии и сертификаты”. Подробнее процесс заказа SSL в панели vds.timeweb.ru описан здесь.

Для клиентов виртуального хостинга заказ доступен в разделе “SSL-сертификаты “.

Нажмите на ссылку “Заказать” и выберите нужный тип сертификата и домен, для которого производится заказ.

Для заказа сертификата Let's Encrypt достаточно только указания домена. Отметьте чекбокс “Я согласен с правилами предоставления услуги” и нажмите кнопку “Установить”.

Сертификат будет выпущен иустановлен в течение 1-2 часов; дополнительных подтверждений не требуется.

Перед заказом убедитесь, что выполнены все необходимые условия для успешной установки Let's Encrypt.

Для заказа одного из сертификатов Sectigo потребуется указать администратора. Для EV SSL администратором домена должно быть юридическое лицо.

На домене, для которого заказывается сертификат, обязательно должен быть создан почтовый ящик с именем admin, administrator, hostmaster, webmaster или postmaster, на который придет письмо для подтверждения заказа SSL. 

Далее выберите способ оплаты (с баланса аккаунта или отдельным платежом), отметьте чек-бокс “Я согласен с правилами предоставления услуги” и нажмите кнопку “Установить” (или “Заказать”).

Последующий процесс обработки заказа будет отличаться в зависимости от типа сертификата:

  • Sectigo Positive SSLПосле поступления оплаты и подтверждения заказа сертификатбудет автоматически выпущен и установлен в течение нескольких часов. 
  • Sectigo Positive SSL WildcardПосле поступления оплаты и подтверждения заказа, на указанный при заказе ящик придет письмо с zip-архивом, содержащим файлы сертификата. Данный архив необходимо передать специалистам нашей службы поддержки, после чего мы установим сертификат в течение 1-2 часов.
  • Sectigo EV SSL При выпуске данного сертификата производится расширенная проверка организации со стороны Sectigo и могут быть запрошены дополнительные сведения. Срок выпуска сертификата может занимать до 10 дней.После того как необходимая валидация будет пройдена, на указанный при заказе ящик придет письмо с zip-архивом, содержащим файлы сертификата. Данный архив необходимо передать специалистам нашей службы поддержки, после чего мы установим сертификат в течение 1-2 часов.

Установка стороннего сертификата

Для установки сертификата, приобретенного у другого провайдера, необходимо:

  • заказать дополнительный IP-адрес (зачем нужен дополнительный IP, см. здесь);
  • привязать новый адрес к домену (см. Настройка доп. IP после заказа);
  • если домен делегирован на сторонние NS-серверы – на стороне провайдера NS-сереров указать в качестве A-записи домена новый IP-адрес;
  • отправить в службу поддержки запрос на установку сертификата, приложив к нему файлы: сертификат, ключ от сертификата без пароля и цепочку корневых сертификатов Центра Сертификации, выдавшего SSL (не требуется для самоподписных сертификатов).

Установка будет выполнена нашими специалистами в течение 1-2 часов.

Продление сертификата

Бесплатные сертификаты Let's Encrypt продлеваются автоматически за две недели до даты истечения.

Уведомления о необходимости продления сертификатов Sectigo будут отправлены на контактный ящик аккаунта. В панели управления появится опция продления – кнопка . Она будет доступна за 30 дней до истечения срока действия сертификата и в течение 30 дней после. 

Для продления сертификата также необходимо наличие ящика с именем admin, administrator, hostmaster, webmaster или postmaster, чтобы подтвердить продление SSL.

При продлении оставшиеся дни текущего сертификата будут добавлены к сроку действия нового.

Информация, которую может содержать и подтверждать SSL-сертификат

SSL-сертификат содержит следующую информацию:

  • доменное имя, на которое оформлен SSL-сертификат;
  • данные лица, на имя которого выпущен сертификат;
  • физическое местонахождение владельца сертификата (город, страна);
  • срок действия сертификата;
  • реквизиты компании-поставщика SSL-сертификатa.

Проверка сертификата

Проверить SSL-сертификат (установлен или не установлен, какие данные были указаны при его заказе) можно с помощью различных инструментов, например, на сайте Symantec или SSL Shopper. 

Также можно проверить соответствие сертификата и ключа;

Зачем нужен выделенный IP-адрес для установки SSL?

Установка SSL-сертификатов на виртуальном хостинге осуществляется на выделенный IP-адрес (используются только IPv4). Исключение составляет Let's Encrypt, который устанавливается на IP-адрес сервера, указанный для домена (однако при наличии выделенного IP сертификат по умолчанию будет установлен на него).

В начале работы по протоколу https браузер устанавливает защищенное соединение с web-сервером. Только после установки защищенного соединения браузер может запросить страницу конкретного сайта по протоколу http. Чтобы при запросе к сайту выдавался правильный SSL-сертификат (принадлежащий запрашиваемому домену), необходимо, чтобы данный сайт обслуживался на отдельном IP-адресе.

Особенности использования сертификата Sectigo Positive Wildcard SSL 

Сертификаты SSL Wildcard, работающие на домене и всех его поддоменах, в рамках нашей системы устанавливаются на конкретную директорию. Соответственно, для корректной работы сайта при использовании такого типа сертификата необходимо выполнение следующих условий:

  • все поддомены должны быть привязаны к директории, на которую установлен сертификат;
  • файлы сайтов, размещенных на поддоменах, должны быть загружены в подпапки в основной директории сайта;
  • в файле .htaccess должно быть настроено перенаправление в нужную поддиректорию при обращении по поддомену. Пример директивы:

RewriteEngine onRewriteBase /RewriteCond %{HTTP_HOST} forum\.domain\.ru$RewriteCond %{REQUEST_URI} !/forum/RewriteRule (.*)$ /forum/$1 [L]

Источник: https://timeweb.com/ru/help/pages/viewpage.action?pageId=4358505

Ssl сертификаты symantec site starter. SSL-сертификаты Symantec теперь бесплатны. Как будет происходить перевыпуск сертификатов

Ssl сертификаты symantec site starter. SSL-сертификаты Symantec теперь бесплатны. Как будет происходить перевыпуск сертификатов

» Пенсии и пособия » Ssl сертификаты symantec site starter. SSL-сертификаты Symantec теперь бесплатны. Как будет происходить перевыпуск сертификатов

Постепенного отказа в доверии и перевыдачи старых сертификатов Symantec SSL, отмены статуса EV, а также уменьшении срока действия будущих сертификатов до ≤9 месяцев. Это результат расследования инцидентов с сертификатами, которые были выданы без разрешения владельцев, и действующих практик в компании.

Расследование Google продолжалось два месяца с января по март 2017 года. Чем дольше оно продолжалось, тем больше вопросов возникало к Symantec и вскрывалось нарушений в выдаче сертификатов.

Ещё не стёрлась из памяти история 2015 года , когда Symantec самовольно выпустил сертификат на домены Google, Opera и ещё нескольких организаций.

Тогда Symantec объяснила свои действия следующим образом: «Небольшое количество тестовых сертификатов было некорректно выпущено для внутреннего пользования во время тестирования.

Все из этих тестовых сертификатов и ключей были все время под нашим контролем и были незамедлительно отозваны, когда мы узнали о проблеме. Не было никакого воздействия на какие-либо домены и никакой опасности для сети Интернет». Сотрудники, нарушившие политики и допустившие данный инцидент, были уволены.

Однако проведённый аудит выявил 187 сертификатов на существующие домены, выданные без ведома владельцев, и 2458 сертификатов на несуществующие домены.

После того инцидента стало ясно, что у Symantec с безопасностью совсем плохо. Компания Google потребовала от неё выполнения ряда мер, в том числе поддержки всеми новыми сертификатами фреймворка Certificate Transparency , проведения дополнительного аудита, публикации отчёта по инциденту, привлечения независимых аудиторов.

Прошло чуть больше года с момента прошлого инцидента – и сейчас Google снова вернулась к провинившемуся центру сертификации Symantec на предмет проверки его соответствия правилам Root Certificate Policy в браузере Chrome.

С самого начала стало понятно, что дела в компании не сильно улучшились. В начале расследования рассматривался первоначальный набор из 127 сертификатов, но в свете вскрывшихся нарушений его расширили до 30 000 штук, выданных за несколько лет.

Результаты расследования Google сформулировала следующим образом: «У нас больше нет уверенности в правилах и практике выдачи сертификатов Symantec за последние несколько лет. Чтобы восстановить уверенность и безопасность наших пользователей, мы предлагаем следующие шаги:

  • Сокращение признанного срока действия вновь выданных сертификатов Symantec до девяти месяцев или меньше, чтобы минимизировать какое-либо влияние на пользователей Google Chrome от любых дальнейших некорректных выдач, которые могут возникнуть.
  • Постепенный отказ в доверии, охватывающий несколько выпусков Google Chrome, всем ранее выданным сертификатам Symantec, с требованием повторного подтверждения и замены.
  • Отказ в признании статуса EV (Extended Validation) для сертификатов, выданных Symantec, до тех пор, пока сообщество не будет уверено в правилах и практике Symantec, но не ранее чем через 1 год».

Постепенное сокращение признанного срока действия вновь выданных сертификатов Symantec предлагается реализовать следующим образом:

  • Chrome 59 (Dev, Beta, Stable): 33 месяца (1023 дня)
  • Chrome 60 (Dev, Beta, Stable): 27 месяцев (837 дней)
  • Chrome 61 (Dev, Beta, Stable): 21 месяц (651 день)
  • Chrome 62 (Dev, Beta, Stable): 15 месяцев (465 дней)
  • Chrome 63 (Dev, Beta): 9 месяцев (279 дней)
  • Chrome 63 (Stable): 15 месяцев (465 дней) – эта версия выходит на рождественских каникулах, когда во многих компаниях выходные
  • Chrome 64 (Dev, Beta, Stable): 9 месяцев (279 дней)

По мнению Google, перечисленные меры «позволят гарантировать, что уровень гарантий сертификатов Symantec соответствует ожиданиям Google Chrome и экосистемы, и что риски от прошлых и возможных будущих нарушений сведены к минимуму, насколько это возможно».

Нужно понимать, что Symantec – один из крупнейших центров сертификации в интернете. Так, в январе 2015 года более 30% всех сертификатов в Сети были выданы именно этим центров. Правда, с тех пор произошли значительные изменения. Сейчас лидером является Comodo с 42,7%, а доля Symantec

1 декабря сертификаты группы Symantec начал выпускать удостоверяющий центр Digicert. Все купленные до этого дня SSL-сертификаты брендов Symantec, GeoTrust, Thawte и RapidSSL надо перевыпустить.

Чем раньше, тем лучше.

Весной 2018 года выйдет бета-версия, а осенью – стабильная версия браузера Chrome, где сайты с выпущенными до 1 декабря 2017 года сертификатами будут помечаться как небезопасные.

Google заботится о безопасности

SSL/TLS-сертификаты обеспечивают шифрованное соединение (HTTPS). Отдельные виды SSL могут также подтверждать деятельность владельца сайта. Защищенное соединение обязательно для ресурсов, собирающих какие-либо данные о пользователях. Без него Google Chrome оповещает пользователей о небезопасном соединении.

SSL-сертификаты выдают удостоверяющие центры. Правила выдачи определяются совместно с сообществом веб-браузера с открытым исходным кодом Chromium (куда входит Google, Яндекс и другие компании). Это же сообщество следит, чтобы правила соблюдались.

Google не доверяет Symantec

В марте 2017 года в Google сообщили о нарушении правил SSL-подразделением компании Symantec. Там сгенерировали ошибочные сертификаты, которые могли попасть к мошенникам. Но так как Symantec принадлежит около трети действующих сертификатов в интернете, в Google не стали разом считать их небезопасными, а придумали план постепенной утраты доверия. Его поддерживают и в Mozilla.

На фоне скандала бизнес Symantec по продаже SSL выкупила компания Digicert. Они изменили процесс выпуска, и с 1 декабря начали выдавать соответствующие требованиям сертификаты. Все SSL-сертификаты, полученные в Symantec до 1 декабря 2017 года, надо перевыпустить.

Что делать и когда

Группа Symantec включает бренды Symantec, GeoTrust, Thawte, RapidSSL. Если у вас один из этих сертификатов – его надо перевыпустить.

Время перевыпуска зависит от момента выхода версии Google Chrome, которая не будет поддерживать выданные Symantec сертификаты. Сначала блокирующее обновление выйдет для бета-версии, после – для стабильной. Бета-версией пользуется ограниченная аудитория, поэтому можно ориентироваться на стабильную.

Получили

Надо перевыпустить

Если срок действия вашего SSL-сертификата заканчивается раньше выхода версии Chrome – его не надо перевыпускать. Просто новый сертификат.

Как быстро проверить, надо что-то делать или нет

Для проверки используйте Chrome.

  1. Откройте свой сайт.
  2. Перейдите в меню Chrome – Дополнительные инструменты – Инструменты разработчика. В открывшемся окне выберите вкладку Безопасность (Security).
  3. Если увидите зеленую надпись “This page is secure (valid HTTPS)” – все хорошо. Если “This page is not secure” – перевыпустите сертификат.

Как перевыпустить сертификат

Перевыпуск сертификата бесплатный. Обратитесь за помощью к нам в чате на сайте или Личном кабинете , если приобретали сертификат в ISPsystem, или к своему удостоверяющему центру/реселлеру. Процедура повторяет процесс выпуска: надо подтвердить право на домен и пройти проверку центра сертификации.

Важно! После перевыпуска срок действия сертификата не меняется.

24 840 р.56 925 р.56 925 р.86 940 р. 49 680 р. 48 190 р. 113 850 р. 110 435 р. 113 850 р. 110 435 р. 173 880 р. 168 664 р.Защита поддоменовнетнетнетнетДоступен частным лицамнетнетнетнетДоступен для компанийестьестьестьестьШифрование40-256 бит128-256 бит40-256 бит128-256 битПодтверждение бизнес-уровня компании владельцаестьестьестьестьПоддержка IDNестьестьестьестьнетнетестьестьПоднятие уровня шифрования для устаревших браузеров и браузеров не поддерживающих высокий уровень шифрованиянетестьнетестьПечать доверияестьестьестьестьСертификат для подписи Цена
Symantec Codesign Аdobe АIRот 25 875 р./год
Symantec Codesign Microsoft Аuthenticodeот 25 875 р./год
Symantec Codesign Office VBAот 25 875 р./год
Symantec Codesign SUN JAVAот 25 875 р./год

Простой способ попасть в топ Google!

Популярный поисковик изменил правила ранжирования: теперь сайты, использующие HTTPS-соединение, поднимаются выше в результатах поиска. Став обладателем SSL-сертификата Symantec , вы сможете не только надежно защитить свой сайт, но и привлечь намного больше пользователей.

Будущее интернета — за SSL.

SSL-сертификат — уникальная цифровая подпись вашего сайта. Прежде всего, она обладает тремя наиболее важными и необходимыми функциями:

  • Шифрует передаваемую информацию (логины, пароли, данные дебетовых карт и многое другое.
  • Подтверждает подлинность ресурса. Таким образом он является гарантией того, что сайт принадлежит именно вам или вашей организации, а не мошенникам.
  • Обеспечивает целостность передаваемых данных. То есть, тот факт, что при обмене информацией между сервером и браузером пользователя данные защищены от подмены.

Компания Symantec (VeriSign) является крупнейшим поставщиком SSL-сертификатов в мире, а также одним из популярнейших сертификационных центров среди ТОП-100 банков и ТОП-500 веб-сайтов. Сертификаты от Symantec (VeriSign) позволяют повысить эффективность бизнеса Вашего сайта.

SSL сертификаты Symantec (VeriSign) — это элитный уровень сертификатов безопасности со стандартной и расширенной проверкой, который отлично подходит для крупных компаний, заботящихся о своей репутации.

Сертификаты SSL «Симантек» столь востребованы ввиду наиболее высокого уровня доверия среди пользователей.Наличие SSL-сертификата не только обеспечит защиту информации, передаваемой между сайтом и клиентами, но и помогают подтвердить безопасность всего сайта в целом.

Сайты, имеющие SSL-сертификаты от Symantec (VeriSign) пользуются максимальной степенью доверия: безопасность ссылки, безопасность сайта, безопасность сделки.

Почему вам стоит выбрать SSL-сертификат Symantec (VeriSign):

  • Шифрование 40-256 бит, длина ключа подписи мин. 2048 бит;
  • тип шифрования: RSA, DSA или ECC;
  • хеширование SHA-2
  • возможна расширенная проверка EV на русском языке
  • динамическая печать защиты

В компании сайт у вас есть возможность подобрать себе наиболее подходящий SSL-сертификат от компании Symantec (VeriSign).

Источник: https://www.sherbakova.ru/pensions-and-benefits/ssl-sertifikaty-symantec-site-starter-ssl-sertifikaty-symantec-teper-besplatny.html

Google перестанет доверять SSL от Symantec, GeoTrust, Thawte и RapidSSL. Что делать владельцам сайтов? — CMS Magazine

Ssl сертификаты symantec site starter. SSL-сертификаты Symantec теперь бесплатны. Как будет происходить перевыпуск сертификатов

Раскладываем план Google по полочкам и разбираемся, что и когда делать владельцам SSL-сертификатов от удостоверяющего центра Symantec.

В конце июля 2017 года Google объявила о том, что будет поэтапно блокировать SSL-сертификаты группы Symantec. Мера беспрецедентная — Symantec занимает 3 место в мире по выдаче SSL.

В том числе и наши клиенты покупают панель ISPmanager вместе с этими сертификатами. Поэтому последние 2 недели мы каждый день отвечаем на вопрос, как решение Google повлияет на сайты.

Мы разобрались в ситуации и подробно расскажем, что делать владельцам SSL от Symantec.

Необходим сайт, мобильное приложение, услуги по SEO или контекстной рекламе? Тендерная площадка WORKSPACE поможет выбрать оптимального исполнителя. База проекта насчитывает более 10 500 агентств. Сервис БЕСПЛАТЕН для заказчиков.

Краткая предыстория

В марте 2017 Google обвинил Symantec в нарушении стандартов безопасности. SSL-подразделение Symantec выдало 108 ошибочных сертификатов с расширенной проверкой, сотрудники генерировали SSL для доменов без спроса их владельцев. В ответ на это Google пригрозил блокировать SSL-сертификаты удостоверяющего центра. Firefox поддержал опасения коллег из Chrome.

Несмотря на обещания Symantec устранить нарушения, в конце июля Google анонсировал последовательный план утраты доверия к сертификатам Symantec. А 2 августа стало известно, что Symantec продал бизнес по SSL компании DigiCert.

Владельцы сайтов задаются вопросом: что будет с сайтом, если на нем установлен сертификат группы Symantec? В этой статье разберем план Google по полочкам и расскажем, что и когда нужно делать, если у вас сертификат Symantec.

Кого коснутся изменения

Изменения повлияют на сайты, которые используют или планируют приобрести сертификаты, выпускаемые группой Symantec. К ним относятся бренды:

  • Symantec

  • GeoTrust

  • Thawte

  • RapidSSL

Если у вас один из этих сертификатов, рекомендуем продолжить читать статью.

Важно! Не стоит паниковать сейчас. Все изменения ждут вас только в 2018 году, а значит есть время, чтобы разобраться и подготовиться.

Причем здесь Google

В Google считают, что задача компании — сделать интернет безопасным для всех. Это касается пользователей, которые совершают покупки в интернет-магазинах и вводят персональные данные. Необходимо также защищать детей от злоумышленников, жестокости и нежелательной информации.

Для этого компания обучает пользователей безопасной работе в Интернете, разрабатывает инструменты для безопасности на своих сервисах и делает их доступными для других компаний. Google использует зашифрованное соединение HTTPS, и призывает других поступать также.

Для этого они включили HTTPS в список параметров, по которым Google ранжирует сайты в результатах поиска.

Компания ежегодно выплачивает миллионы долларов в виде грантов и премий независимым экспертам, которые выявляют и устраняют ошибки и уязвимости в сервисах Google. Как видите, вопрос безопасности в интернете имеет для Google особую важность.

Почему Google перестал доверять Symantec

Symantec — один из крупнейших удостоверяющих центров, который выдает 14% SSL-сертификатов в мире. Несмотря на масштабы, компания не смогла гарантировать соблюдение строгих стандартов по выпуску SSL.

Так, еще в 2015 году Symantec выдал сертификаты на домены без спроса владельцев. Тогда мошенники получили сертификаты на домены Google: google.com, gmail.com и gstatic.com. В январе 2017 года центр сгенерировал 108 ошибочных SSL с расширенной проверкой.

К сертификатам этого уровня самые высокие требования. Нарушение этих правил Symantec могло привести к тому, что сертификаты получили мошенники.

Также в марте 2017 стало известно, что 4 сторонние организации без должного контроля имеют доступ к выдаче SSL-сертификатов от имени Symantec.

Все эти нарушения привели к тому, что Google и Mozilla Firefox утратят доверие к сертификатам Symantec. Это значит, что при переходе на сайты с этими SSL пользователи увидят предупреждение о небезопасном соединении.

Какой план у Google, Symantec и DigiCert

Чтобы владельцы сайтов успели обновить или заменить сертификаты, Symantec (после 1 декабря DigiCert) и Google утвердили план действий. Так выглядит график, по которому будут происходит изменения:

24 октября 2017

Выйдет stable-версия Chrome 62. Она покажет оповещения для сертификатов, которые утратят доверие в Google 66. Так вы сможете понять, затронут ли изменения ваш сертификат. Откройте в Google Chrome ваш сайт и зайдите в «Дополнительные инструменты» — «Инструменты разработчика». Если проблемы есть, вы увидите оповещение.

1 декабря 2017

DigiCert начнет выпускать сертификаты Symantec на базе новой инфраструктуры. Google не будет считать опасными сайты с SSL, выпущенным после 1 декабря 2017 года.

15 марта 2018

Выйдет beta-версия Chrome 66. Она утратит доверие ко всем сертификатам Symantec, GeoTrust, Thawte и RapidSSL, выпущенным до 1 июня 2016. То есть начиная с beta-версии Chrome 66 пользователи будут видеть предупреждение о том, что ваш сайт небезопасен.

13 сентября 2018

Выйдет beta-версия Chrome 70. В ней утратят доверие все сертификаты, выпущенные до 1 декабря 2017 года.

Что делать владельцам сертификатов от Symantec

Итак, если ваш сертификат затрагивает утрата доверия к Symantec, вам нужно перевыпустить сертификат. Мы рекомендуем следовать определенному плану. Так вы избежите проблем с посетителями сайта, и при этом затратите минимум времени и усилий.

Если SSL был выпущен ДО 1 июня 2016 года и срок его окончания ПОСЛЕ 14 марта 2018 года.

Вам нужно перевыпустить сертификат до 15 марта 2018 года. В этот день выйдет beta-версия Google Chrome 66, и ее пользователи увидят, что ваш сайт небезопасен.

Мы рекомендуем перевыпускать такие сертификаты после 1 декабря 2017 года, лучше всего — в январе 2018. Тогда сертификаты будет выпускать DigiCert на новой инфраструктуре, и с ними не будет никаких проблем.

Важно! Если вы перевыпустите сертификат до 1 декабря, вам придется еще раз перевыпустить его до 13 сентября 2018 года. Потому что тогда потеряют доверие все сертификаты, выпущенные до 1 декабря 2017 года.

Если SSL был выпущен в период с 1 июня 2016 года по 1 декабря 2017 года и срок его окончания ПОСЛЕ 13 сентября 2018 года.

Вам нужно перевыпустить сертификат до 13 сентября 2018 года. В этот день выйдет beta-версия Google Chrome 70 и ее пользователи увидят, что ваш сайт небезопасен.

Мы рекомендуем перевыпускать такие сертификаты после 1 декабря 2017 года. Тогда сертификаты будет выпускать DigiCert на новой инфраструктуре, и с ними не будет никаких проблем.

Если сертификат заканчивается ДО 1 декабря 2017 года.

Если вам нужен сертификат на следующий период, вы можете продлить сертификат Symantec, GeoTrust, Thawte и RapidSSL и до 1 декабря 2017 года. В этом случае вам потребуется бесплатно перевыпустить его до 13 сентября 2018 года. Вы также можете купить сертификаты других брендов.

Если вы купите сертификат ПОСЛЕ 1 декабря 2017 года.

Как обещает DigiCert, эти сертификаты не нужно будет перевыпускать. Однако рекомендуем следить за новостями по этой теме на случай, если сроки запуска новой инфраструктуры сдвинутся.

Как будет происходить перевыпуск сертификатов

Перевыпуск сертификата будет бесплатным. Нужно обратиться в Symantec, если вы покупали сертификат напрямую у удостоверяющего центра, или к партнеру, у которого вы заказали SSL.

Процесс абсолютно такой же, как и при покупке: нужно подтвердить право на домен и пройти проверку центра сертификации (зависит от типа сертификата). Обращаем внимание, что срок действия сертификата после перевыпуска не меняется.

То есть перевыпуск делается только на оставшийся период действия сертификата.

Теперь вы знаете, как на вас влияет утрата доверия Google к сертификатам от Symantec, что и когда делать с SSL.

Источник: https://CMSmagazine.ru/journal/items-google-will-stop-trusting/

Закон24
Добавить комментарий