Хостинг и SSL: как начать работу

Использование web-сервером SSL для обеспечения криптографической защиты информации может понадобиться при работе с конфиденциальными персональными данными посетителей сайта (например, номера кредитных карт, личные паспортные данные). Во-первых, посетитель должен быть уверен, что отправляемые данные не будут перехвачены, а во-вторых, SSL-сертификат подтверждает, что посетитель отправляет данные именно на тот сервер, который указан в адресной строке браузера. Настройка SSL и возможности по использованию этой технологии напрямую связаны с функциональностью хостинга, на котором размещён web-сайт.


Подходящий хостинг

Итак, ваш web-сайт должен поддерживать криптографически защищённые соединения с клиентским браузером. Первым шагом на пути реализации этого требования будет выяснение у хостинг-провайдера, может ли он предоставить тарифные планы хостинга с поддержкой SSL. Так как работа SSL требует дополнительных ресурсов от хостинга, то поддержка этой технологии обычно доступна не на всех тарифных планах. Более того, некоторые хостинг-провайдеры вообще не предоставляют поддержки SSL. Включение SSL для web-сайта требует выделения хостинг-провайдером отдельного IP-адреса для каждого сайта. Эта услуга либо может входить в стандартный пакет тарифа хостинга, либо приобретается за дополнительную плату. Обмен данными при работе web-сайта с SSL происходит по протоколу HTTPS, поэтому web-сервер должен быть настроен таким образом, чтобы была возможность использовать HTTPS. Выполнить настройку может хостинг-провайдер по заявке клиента. Кроме того, необходимо убедиться, что хостинг-провайдер поддерживает установку клиентских сертификатов SSL.

Сертификаты

После того, как сняты проблемы с хостингом, нужно определиться с сертификатом SSL. Сертификат необходим для того, чтобы пользовательский браузер мог проверить подлинность вашего сайта. Сертификаты SSL выдаются так называемыми сертифицирующими центрами. В роли такого центра может выступать и сам хостинг-провайдер - в таком случае на вашем сайте будет использоваться сертификат, выданный хостинг-провайдером. Такая услуга удобна, но она обладает серьёзным ограничением: скорее всего, хостинг-провайдер не является "общепринятым" сертифицирующим центром, поэтому посетители вашего web-сайта, работающего с сертификатом от хостинг-провайдера, будут получать от системы безопасности браузера предупреждение о том, что организация, выдавшая сертификат, не входит в список "доверенных".

Дело в том, что в стандартный список удостоверяющих центров, содержащийся в браузере, входят не все возможные центры, а только определённый список "авторизованных". Для того чтобы подобных предупреждений не появлялось, можно либо попросить пользователя внести центр, выдавший ваш сертификат, в список доверенных (браузеры позволяют это сделать), либо получить сертификат в одной из "стандартных" доверенных сертифицирующих организаций (удостоверяющих центров). Среди удостоверяющих центров наиболее известна компания VeriSign (или принадлежащая VeriSign компания Thawte). Другие широко известные центры: COMODO, IdenTrust, Network Solutions.

Для получения сертификата нужно обратиться либо напрямую в один из центров сертификации, либо к авторизованному представителю этого центра на территории России.

Перед тем как получать сертификат SSL, необходимо выбрать подходящий по назначению тип сертификата. Сертификаты отличаются, например, криптографической стойкостью используемых протоколов и механизмом удостоверения подлинности.

Процедура получения сертификата SSL состоит из нескольких этапов.

Прежде всего нужно подготовить так называемый Certificate Signing Request (CSR) - это сообщение, содержащее открытый ключ (из сгенерированной пары "открытй ключ - секретный ключ"), который будет входить в сертификат и выдаваться посетителям вашего сайта, и информацию о владельце сайта. Данные CSR необходимы для формирования сертификата. Сгенерировать CSR можно либо самостоятельно, если у вас есть достаточные права по управлению услугой хостинга и информация о технических параметрах, либо с помощью службы технической поддержки хостинг-провайдера. Формат CSR должен соответствовать стандартам, используемым сертифицирующим центром. Помимо технических параметров и адреса сайта нужно будет указать сведения о владельце сертификата. (Следует иметь в виду, что необходимо сохранять в тайне секретный ключ, который связан с CSR, и никому его не передавать.)

Подготовленное сообщение CSR отправляется в центр сертификации. Центр проверяет предоставленные данные. Процедура проверки может занимать несколько дней. После того, как проверка завершилась успешно, центр сертификации выдаёт сертификат. Сертификат выдаётся в электронном виде: это набор символов, подготовленный в соответствии с форматами данных, принятых в системе технологий, связанных с SSL. Сертификат удостоверяет доменное имя, соответствующее сайту, то есть, подтверждает, что предоставленный владельцем сайта открытый ключ соответствует именно тому домену, который пользователь видит в адресной строке браузера. Поэтому для каждого сайта (а точнее, для каждого доменного имени) придётся получать новый сертификат.

После того как данные сертификата получены, их нужно установить на хостинг. Хостинг-провайдер должен предоставлять средства по установке клиентских сертификатов. Обычно установка сертификата производится через панель управления хостингом.

Теперь браузер посетителя вашего сайта сможет проверить подлинность сайта в удостоверяющем центре, который выдал сертификат. Проверка происходит автоматически, в ходе установления SSL-соединения, с использованием предъявленного сайтом сертификата, подлинность которого браузер проверяет при помощи собственной базы предустановленных сертификатов удостоверяющих центров.

Расходы и списки

Коммерческие удостоверяющие центры проводят процедуры по выдаче сертификатов и последующему подтверждению подлинности за плату, которая взымается за выдачу сертификата SSL и за последующую его поддержку (абонентская плата). Обычная величина абонентской платы - около 6000 рублей в год, в зависимости от типа сертификата и объёма оказываемых услуг.

Подробный список удостоверяющих центров можно найти в каталоге Open Directory.