Защита сайта

Защита Joomla (часть 8). Бесплатный SSL сертификат

 

В предыдущих статьях «Защита Joomla (часть 1, 2, 4, 6)» я уже затрагивал тему SSL сертификатов и безопасного соединения (HTTPS). Если обобщить и подытожить, то можно назвать основные достоинства и недостатки SSL сертификатов и протокола HTTPS. В статье будет рассмотрен вопрос того как можно получить SSL бесплатно.

С момента выхода данной статьи произошёл ряд важных изменений. Рекомендую ознакомиться с обновлённой информацией в статье «Переводим сайт Joomla на HTTPS с бесплатным SSL».

Достоинства:

  • Подлинность. Благодаря SSL сертификату пользователи могут сравнить адрес Вашего сайта с адресом, указанным и подтверждённым в сертификате. Это положительно скажется на репутации Вашего сайта и\или фирмы, так как сертификаты выдаются «серьёзными» фирмами (иногда с мировым именем) после определённой проверки Вас и\или Вашего ресурса. Чем известней, крупнее и солиднее фирма, выдающая сертификаты и чем большую проверку прошли Вы и Ваш сайт (вплоть до подтверждения Вашей личности), тем больше доверия будет к выданному Вам сертификату. Это сыграет свою положительную роль на мнении пользователей сайтом.
  • Целостность передаваемых данных. SSL сертификат гарантирует целостность (отсутствие изменения, подмены или потери) данных на пути от сервера с Вашим сайтом к браузеру пользователя (или Вас).
  • Конфиденциальность. За счёт применения шифрования «прослушивание» соединения третьим лицом (например, злоумышленником) становится затруднительной задачей. Конфиденциальность является критически важной в случае передачи по сети конфиденциальной информации. Для банков и интернет магазинов наличие SSL сертификата с высоким уровнем шифрования является, на мой взгляд, абсолютно обязательным атрибутом.

Недостатки SSL сертификатов.

  • Некоторые SSL сертификаты не поддерживаются определёнными браузерами. Это может привести к неправильному отображению и\или работе сайта на стороне клиента (в браузере) или вызвать появление ненужных сообщений типа: «Возможна угроза безопасности. Данный SSL сертификат не является доверенным». Это приведёт к тому, что часть пользователей, получивших такое сообщение, просто уйдут.
  • Если SSL сертификат украден, то злоумышленник сможет «подделать» Ваш сайт и тем самым обманом заполучить деньги или данные пользователей. Это может нанести огромный ущерб репутации Вашей фирмы.
  • Центр сертификатов, который выдал Вам SSL сертификат может быть взломан, скомпрометирован и крупные производители популярных браузеров и операционных систем могут исключить все сертификаты данного центра из доверенных. Тогда Ваш сертификат и сайт автоматически получат статус недоверенного. Это может негативно сказаться на посещаемости Вашего сайта и\или репутации фирмы.
  • Как правило, «хорошие» SSL сертификаты с поддержкой высокого уровня шифрования, большого количества популярных браузеров от крупных центров сертификатов с «углублённой» проверкой Вас и Вашей фирмы стоят дорого. Немного о стоимости сертификатов Вы найдёте информацию ниже в этой статье.
  • Использование SSL сертификатов на сайте может добавить массу трудностей технического характера. Например, если Вы используете капч от Google (reCAPTCHA) на странице регистрации пользователей и шифруете соединение при помощи SSL сертификата, то могут возникнуть проблемы из-за того, что в соединение пользователя с Вашим сайтом «вклинивается» ещё и сервер reCAPTCHA. Что может вызвать появление сообщения о возможном прослушивании соединения. Пользователей это может насторожить. То же самое может возникнуть при использовании различных плагинов социальных закладок. Так как некоторые из них оставляют сообщения в социальных сетях через свои серверы (в плагине ValAddThis plugin предусмотрена поддержка HTTPS). Если Вы используете комментарии и\или вход на сайт при помощи социальных сетей, Вы можете столкнуться с проблемой подобного характера.

SSL сертификаты бывают разных видов. Детальнее о видах SSL сертификатов можно прочитать на сайте Inssl.com. Но предложенная на сайте Inssl.com классификация SSL сертификатов не является единственной, которую можно встретить в интернете. На сайте Uh.ua предложена следующая классификация.

Виды SSL сертификатов:

  • SSL сертификат с проверкой домена.
  • SSL сертификат с проверкой компании.

Типы SSL сертификатов:

  • Стандартный SSL сертификат.
  • Wildcard SSL сертификаты с поддержкой субдоменов.
  • EV SSL сертификат с расширенной проверкой.
  • Code Signing SSL сертификат для разработчиков.

На сайте Host4.biz придерживаются следующей классификации.

Виды SSL сертификатов:

  • Сертификаты на один домен с проверкой только доменного имени.
  • Сертификаты на домен и поддомены (SSL Wildcard) с проверкой только доменного имени.
  • Сертификаты на один сервер с проверкой домена и организации.
  • Сертификаты на домен и поддомены (SSL Wildcard) с проверкой домена и организации.
  • Сертификаты с расширенной проверкой организации.

Давайте рассмотрим ценовую политику нескольких хостинговых компаний Украины. В таблице ниже указаны стоимости различных SSL сертификатов доступные на сайтах украинских хостинг компаний на 05.01.2012 сроком на 12 месяцев в гривнах. Но не забывайте, что можно получить SSL бесплатно.

Источники:

  • Bitte.com.ua.
  • Ukrnames.com.
  • Tuthost.ua.
  • Host4.biz.

 

 

Bitte.com.ua

Ukrnames.com

Tuthost.ua

Host4.biz

SSL сертификаты Geotrust

QuickSSL® Basic

657

765

-

-

True BusinessID Wildcard

4667

4667

3840

3873

TrueBusinessID EV Multi-Domain

4718

4718

-

-

QuickSSL® Premium

915

765

880

621

TrueBusinessID Multi-Domain

2975

2975

-

-

SSL сертификаты RapidSSL

RapidSSL®

274

274

160

194

RapidSSL® WildCard

1535

1535

1440

1348

SSL сертификаты Thawte

SSL Web Server

1445

1445

960

1170

Thawte Code Signing

2210

2210

-

-

SSL Wildcard

6035

6035

4400

4833

SSL123

935

510

400

435

SSL Web Server with EV

5440

5440

4720

5116

SGC SuperCerts

4080

4080

2400

-

SSL сертификаты VeriSign

Secure Site EV

8500

8500

8720

-

Secure Site Pro EV

12325

12325

12400

11184

Trust Seal

4123

-

-

-

Secure Site

2975

2975

3120

3026

Secure Site Pro

6800

6800

7920

7404

Code Signing

5440

5440

-

-

 

Ниже я приведу сравнительные диаграммы цен по сертификатам для различных хостинг-компаний.

SSL сертификаты Geotrust

SSL сертификаты RapidSSL

SSL сертификаты Thawte

SSL сертификаты VeriSign

Для примера, приведу цены на сертификаты от VeriSign, приведённые на сайте самого центра сертификатов. Цены указаны на 07.01.2012 (курс 1 доллар = 8,069 гривны).

 

 

Bitte.com.ua

Ukrnames.com

Tuthost.ua

Host4.biz

VeriSign

Secure Site EV

8500

8500

8720

0

8029

Secure Site Pro EV

12325

12325

12400

11184

12095

Trust Seal

4123

-

-

-

2413

Secure Site

2975

2975

3120

3026

3220

Secure Site Pro

6800

6800

7920

7404

8029

 

Ниже я приведу сравнительные диаграммы цен по сертификатам для различных хостинг-компаний и самого центра выдачи сертификатов VeriSign.

SSL сертификаты VeriSign

Как видно из данных, приведённых выше, не всегда выгодно покупать SSL сертификат самостоятельно непосредственно на сайте центра выдачи сертификатов. Так как у хостинга может быть специальный договор с центром сертификатов и из-за этого стоимость может быть ниже, чем на сайте самого центра. Более того, хостинг-компания может взять на себя все технические вопросы по заказу, оплате и установке на сервер SSL сертификата.

Если Вы задумались об использовании SSL сертификата у себя на сайте, то Вы наверняка могли узнать о понятии «самоподписанный сертификат». Если кратко, то это сертификат, который Вы сами создаёте для себя. Безусловно он не имеет никакого доверия со стороны пользователей. Но для повышения безопасности Вашего сайта, Вы можете использовать его для шифрования соединения, например, при входе в административную зону сайта. В Joomla есть возможность включить SSL только для панели управления сайтом (в общих настройках вкладка Сервер). Браузер сообщит Вам о использовании не доверенного сертификата, Вы добавите его в исключения (так как знаете, что это Вы его создали) и соединение будет зашифровано. Но я не рекомендую использовать самоподписанный сертификат для фронтальной части сайта. Так как это может привести к уменьшению числа пользователей из-за лишних оповещений безопасности со стороны браузера. Давайте рассмотрим вопрос того, где можно получить SSL сертификат бесплатно.

Получение бесплатного SSL сертификата от StartSSL™ PKI

Но можно получить бесплатный SSL сертификат The StartSSL™ Free (Class 1) от центра сертификатов StartSSL™ PKI на один год. Сертификат позволяет использовать 256-разрядное шифрование (протокол TLS 1.0). Для ознакомления с «технологией» SSL и тестирования своего сайта на работу по протоколу HTTPS этого вполне достаточно. The StartSSL™ Free (Class 1) подойдёт для использования в случаях, в которых не используются «критические» конфиденциальные данные (например, номер банковской карты). Для интернет магазинов The StartSSL™ Free (Class 1) не подходит.

Давайте рассмотрим основные этапы получения SSL сертификата The StartSSL™ Free (Class 1). Рекомендую при получении SSL сертификата сохранять все вводимые и полученные данные в надёжном недоступном для посторонних месте.

  • Перейдите на сайт. Для удобства можно выбрать русский язык.
  • Если Вы ещё не зарегистрированы на сайте, то необходимо пройти регистрацию. На рисунке ниже показаны поля, которые необходимо будет заполнить. Будьте внимательны! Указывайте только правдивую информацию. Обязательно её проверьте перед продолжением. Заполняйте все поля на английском языке! Если что-то было указанно неверно и вызвало «подозрение» у сотрудников StartSSL™ PKI, то они свяжутся с Вами по электронной почте. Заметьте, что при регистрации на сайте Вам не нужно вводить пароль для последующего доступа к сайту. После регистрации Вам будет выдан сертификат для входа нас сайт StartSSL™ PKI. Обязательно создайте его резервную копию. Как это сделать, Вы найдёте в разделе справки StartSSL™ PKI.
  • После успешной регистрации перейдите в свой личный кабинет (рисунок ниже). Установка SSL начинается с этого шага.

Установка SSL

  • Для получения The StartSSL™ Free (Class 1) вначале необходимо подтвердить права владения доменом. Для этого в личном кабинете перейдите на вкладку Validations Wizard и из спадающего списка Type выберите Domain Name Validation (рисунок ниже).

Подтверждение домена

  • Далее введите имя домена (без указания протокола) и выберите из спадающего списка доменную зону (рисунок ниже).

Имя домена

  • На следующем этапе выберите почту, на которую будет отослано письмо с «секретным кодом» (рисунок ниже).

Выбор почты

  • Список подтверждённых доменов Вы можете просмотреть в панели справа в разделе Domain Validations (рисунок ниже).

Список подтверждённых доменов

  • Теперь можно перейти к непосредственному получению сертификата. На вкладке Certificates Wizard выберите из спадающего списка Certificate Target пункт Web Server TLS/SSL Certificate.
  • Введите пароль для ключа. Рекомендую ввести максимально допустимо длинный и сложный пароль (32 символа).
  • Скопируйте полученный ключ, например, в Notepad++ и сохраните как соssl.key.
  • На следующей странице выберите домен, для которого будет выдан сертификат.
  • На следующей странице введите один поддомен, для которого можно будет использовать этот сертификат. Если у Вас есть копия основного сайта, на которой вы тестируете все изменения перед внесением их на основной сайт, то укажите имя (если оно является поддоменом) этого тестового сайта.
  • Подтвердите введённую информацию. На указанный Вами адрес электронной почты в течении 10-20 минут (как правило) придёт письмо с подтверждением.
  • После получения подтверждения на электронную почту в личном кабинете перейдите на вкладку Tool box.
  • В разделе Retrieve Certificate получите сертификат для Вашего домена. Сохраняем его в файл ssl.crt.
  • В разделе StartCom CA Certificates сохраните StartCom Root CA (PEM encoded) в файл ca.pem. Сохраните Class 1 Intermediate Server CA как sub.class1.server.ca.pem.
  • В итоге у Вас должно быть 4 файла: ssl.key, ssl.crt, ca.pem, sub.class1.server.ca.pem. Этого достаточно для установки SSL сертификата на сервер. Если Вы не сохранили себе на компьютер один из вышеуказанных файлов, то Вам может прийти уведомление от StartSSL™.

Как видно, SSL сертификат бесплатно - это вполне реально.

Установка SSL сертификата на хостинг

Давайте рассмотрим установку полученного SSL сертификата The StartSSL™ Free (Class 1) на хостинг с панелью управления ISPmanager.

  • В панели управления ISPmanager в меню WorldWideWeb выберите подменю SSL сертификаты (рисунок ниже).

Подменю SSL сертификаты

  • Нажмите Создать.
  • В появившемся окне в списке Тип сертификата выберите из спадающего списка Тип сертификата значение Существующий (рисунок ниже).

Тип сертификата

  • Заполните поле Имя сертификата на своё усмотрение. Поля Ключ, Сертификат и Пароль заполните данными, которые Вы получили от StartSSL™ при получении сертификата The StartSSL™ Free (Class 1).
  • Перейдите на вкладку WWW домены, выберите домен, к которому Вы получили SSL сертификат и хотите его прикрепить. В параметрах WWW домена (рисунок ниже) установите опцию SSL (по умолчанию порт 443). Скорее всего понадобится выключить, а затем включать данный домен для применения настроек.

WWW домены

  • Затем вернитесь обратно в меню SSL сертификаты и включите установленный SSL сертификат.

Для включения поддержки SSL в Joomla воспользуйтесь вкладкой Сервер в общих настройках.

Проверить, работает ли Ваш сертификат The StartSSL™ Free (Class 1), Вы можете, нажав на соответствующий информационный элемент в строке адреса Вашего браузера. Примеры подтверждения шифрования соединения для браузеров Mozilla Firefox 9, Internet Explorer 9, Opera 11, Google Chrome 16, Safari 5 показаны на рисунке ниже в порядке следования в этом списке.

Пример отображения информации о сертификате

В следующей статье «Защита Joomla (часть 9). Убираем следы Joomla 1.5, 1.7» будут рассмотрены вопросы, которые касаются удалению следов некоторых того, что Ваш сайт сделан на Joomla.

Похожие материалы
Автор статьи – Хорошевский Алексей

Хорошевский Алексей Примерно с 2008 года и по сегодняшний день создаю сайты «под ключ» на Joomla и WebSite X5. Также занимаюсь их доработкой, SEO-продвижением, контекстной рекламой, защитой от взлома и оптимизацией скорости загрузки сайта.

Кандидат технических наук по специальности «Информационные технологии».

На этом сайте есть контакты и информация обо мне. На нём Вы найдёте примеры моих работ, а также перечень и цены предоставляемых услуг.

 

Полезные ссылки: