Certyfikaty SSL – informacje podstawowe

SSL (z ang. Secure Socket Layer) – protokół służący do bezpiecznego przesyłania danych w sieci Internet.

Przepływ informacji na ścieżce użytkownik – serwer odbywa się w sposób zaszyfrowany.
Oznacza to, że nikt poza uprawnionymi do tego osobami, nie ma dostępu do przesyłanych danych.
Dane przesyłane przez SSL są także chronione przed nieautoryzowaną próba ich modyfikacji,
dlatego użytkownicy serwisów używających certyfikatów SSL mogą bezpiecznie przesyłać dane szczególnie wrażliwe, takie jak hasła czy numery swoich kart kredytowych.

Podstawowe korzyści stosowania certyfikatów SSL to:
– wzrost zaufania użytkowników do danej witryny
– bezpieczeństwo w trakcie przesyłania danych
– wzrost wiarygodności biznesowej

Dany serwis musi posiadać własny, samodzielny adres IP.

Dla certyfikatów z podstawowym uwierzytelnieniem nie są potrzebne dodatkowe dokumenty – weryfikacja odbywa się w sposób automatyczny: należy postępować zgodnie ze wskazówkami otrzymywanymi na adres e-mail, wysyłanymi bezpośrednio przez wystawcę certyfikatu.

Dla certyfikatów z uwierzytelnieniem OV podmiot wystawiający certyfikat weryfikuje także tożsamość oraz fizyczny adres podmiotu aplikującego. Zwykle podmiot wystawiający prosi o przesłanie dodatkowych dokumentów przetłumaczonych na język angielski (np. KRS potwierdzającego adres spółki), lub dokonuje walidacji używając wiarygodnych ogólnie dostępnych źródeł. Do certyfikatu wpisywane są zarówno nazwa domeny jak i dodatkowe zweryfikowane dane.

Dla certyfikatów z walidacją EV podmiot wystawiający certyfikat weryfikuje pełną tożsamość aplikanta. Dodatkowe wymogi dla certyfikatów EV opisane są na stronie danego wystawcy.
– dla certyfikatów EV Geotrust należy podpisać „Acknowledgement of Agreement” i przesłać faksem/przeskanować do swojego sprzedawcy (pobierz>>). Dodatkowe warunki wydania certyfikatu znajdują się na stronach GeoTrust: http://www.geotrust.com/support/true-businessid/ev-validation-requirements/

– dla certyfikatów EV VeriSign (grupa Symantec) wystawca certyfikatu skontaktuje się z aplikantem BEZPOŚREDNIO i poprosi o przesłanie wypełnionego ‚Acknowledgement of Agreement’ (pobierz>>) oraz innych dodatkowych dokumentów.

Należy pamiętać, by mieć dostęp do skrzynki e-mail znajdującej się w domenie, dla której wydawany jest certyfikat, w jednej z poniższych nazw: webmaster, admin, administrator, hostmaster, postmaster (np. admin@mojadomena.pl).

Dane abonenta domeny wpisane w bazie WHOIS powinny być zgodne z danymi z CSR oraz danymi we wniosku o wydanie certyfikatu.

Certyfikaty wersji Trial wystawiane są na okres 30 dni.
Pozostałe certyfikaty są wystawiane na okres 1 roku.

Maksymalne okresy ważności dla certyfikatów (ważne do 19.08.2020 r.) wyszczególnione są poniżej:
– 6 lat: Power Serwer ID
– 4 lata: RapidSSL, RapidSSL Wildcard, QuickSSL Basic, QuickSSL Premium, True BusinessID, True BusinessID Wildcard, Thawte SSL123
– 3 lata: Secure Site, Secure Site Pro
– 2 lata: True BusinessID + EV, Secure Site + EV, Secure Site Pro + EV.

Po 19.08.2020 r., zgodnie z decyzją Google i Apple, dostawca SSL nie oferuje już certyfikatów wieloletnich.

Oprogramowanie serwera musi być wspierane przez technologię SSL a serwis internetowy musi posiadać własny, samodzielny adres IP.

W naszej ofercie znajdują się certyfikaty wyłącznie renomowanych wystawców, z dużym doświadczeniem na rynku:
– RapidSSL
– GeoTrust
– VeriSign
– Thawte

Poszczególne certyfikaty różnią się od siebie przede wszystkim poziomem uwierzytelniania (im wyższy poziom tym większy prestiż dla organizacji korzystającej z certyfikatu), sumą gwarancyjną wystawcy (do 1,5 miliona USD), stopniem rozpoznawalności certyfikatu przez przeglądarki i systemy operacyjne, urządzenia mobilne.

Wybór certyfikatu zależy przede wszystkim od potrzeby danej organizacji, jej prestiżu, wielkości i aktywności w Sieci.

Wszystkie certyfikaty SSL oferowane w naszym serwisie zapewniają wysoki poziom szyfrowania.
Dla małych serwisów polecamy certyfikaty RapidSSL, SSL123Thawte, QuickSSL Basic Geotrust, QuickSSL Premium Geotrust.

Dla serwisów średnich – produkty firmy Geotrust: True BusinessID, True Business ID Wildcard oraz produkty firmy VeriSing: Secure Site, Secure Site Pro.

Dla serwisów dużych, notujących wysoką aktywnośc w Sieci najlepsze będą: GeoTrust True Business ID + EV, VeriSign Secure Site +EV, VeriSign Secure Site Pro + EV.
Jeśli potrzebujesz produktów do ochrony subdomen – wybierz RapidSSL Wildcard lub GeoTrust True Business ID Wildcard.

Proces realizacji zamówienia zależy od rodzaju certyfikatu, o jaki ubiega się podmiot.
Dla certyfikatów typu DV proces przeprowadzany jest automatycznie a cały proces nie powinien trwać dłużej niż 24 godziny robocze (zwykle jest to kilka godzin).

W tym wariancie weryfikowane jest jedynie prawo własności do domeny, dla której certyfikat powinien być wystawiony.

Klient proszony jest o potwierdzenie danych i zaakceptowanie warunków wystawienia certyfikatu w mailu wysłanym przez wystawcę certyfikatu.

Dla certyfikatów typu OV realizacja zamówienia trwa maksymalnie do 7 dni roboczych (zwykle jest to 5 dni).

Weryfikowane są nie tylko prawa własności do domeny, lecz także tożsamość aplikanta (na podstawie dodatkowych dokumentów, ogólnie dostępnych baz danych).
Nierzadko Klient proszony jest przez organizację certyfikującą do dostarczenia dokumentów założycielskich firmy przetłumaczonych na język angielski.
Wymiana dodatkowych dokumentów odbywa się bezpośrednio pomiędzy Klientem a organizacją wystawiającą certyfikat.

Dla certyfikatów typu EV procedura składania zamówienia zamyka się zwykle w 10 dniach roboczych. Weryfikowane są prawa własności do domeny, tożsamość aplikanta oraz jego działalność. Organizacja certyfikująca wysyła na wskazany adres Klienta listę dokumentów niezbędnych do dostarczenia. W celu szybszej realizacji zlecenia Klient proszony jest o oznaczenie dokumentów numerem zlecenia przed wysłaniem do organizacji wystawiającej certyfikat.

Uwaga! Za każdym razem należy upewnić się, iż dane wnioskodawcy są identyczne z danymi wpisanymi w bazie WHOIS dla domeny.

Walidacja wnioskodawcy polega na sprawdzeniu, czy dane podane w formularzu aplikacyjnym są zgodne z danymi rzeczywistymi.

Dla certyfikatów typu DV sprawdza się, czy aplikant posiada prawa własności do domeny, dla której ma zostać wydany certyfikat.

Dla certyfikatów OV sprawdzana jest również tożsamość oraz fizyczny adres podmiotu aplikującego.

W przypadku certyfikatów EV weryfikowana jest pełna tożsamość aplikanta oraz niezbędne są dodatkowe dokumenty – ich zakres zależy od wymogów wystawcy certyfikatu.

Pieczęć bezpieczeństwa to dodatkowy znak graficzny informujący użytkowników serwisu o zaszyfrowanym bezpiecznym połączeniu.

Stanowi dodatkowy dowód dla odwiedzających dany serwis, iż serwis ten jest chroniony certyfikatem SSL.

W zależności od rodzaju certyfikatu, wystawcy certyfikatu – pieczęcie bezpieczeństwa mogą być bezpłatne lub dodatkowo płatne (podlegające oddzielnym zamówieniom).

Dla certyfikatów RapidSSL -pieczęć bezpieczeństwa jest: bezpłatna, statyczna.
Instaluj pieczęć bezpieczeństwa RapidSSL:

1.Kliknij prawym przyciskiem myszy na rysunku powyżej i wybierz „Zapisz obrazek jako”/ „Zapisz grafikę jako”
2.Zapisz wybrany plik na komputerze lokalnym.
3.Umieść pieczęć w widocznym miejscu Twojej strony WWW.

Dla certyfikatów GeoTrust -pieczęć bezpieczeństwa jest: bezpłatna, dynamiczna.

Instaluj pieczęć bezpieczeństwa dla certyfikatu QuickSSL Premium:
Dodaj poniższy tekst do każdej strony, dla której znak ma być widoczny:

Click for company profileClick for company profile

Instrukcje GeoTrust odnośnie instalowania pieczęci bezpieczeństwa /ang/:
http://www.geotrust.com/support/quick-ssl-support/premium-true-site-seal/

Instaluj pieczęć bezpieczeństwa dla certyfikatów True BusinessID, TrueBusinessID + EV, TrueBusinessID Wildcard:

Dodaj poniższy tekst do każdej strony, dla której znak ma być widoczny:

Click for company profileClick for company profile

Instrukcje GeoTrust odnośnie instalowania pieczęci bezpieczeństwa /ang/:
http://www.geotrust.com/support/true-businessid/true-site-seal/

Instaluj pieczęć bezpieczeństwa dla certyfikatów VeriSign:

Instrukcje VeriSign (grupa Symantec) odnośnie instalowania pieczęci bezpieczeństwa /ang/:
https://www.symantec.com/ssl/seal-agreement/

Instaluj pieczęć bezpieczeństwa dla certyfikatów Thawte:

Instrukcje Thawte odnośnie instalowania pieczęci bezpieczeństwa /ang/:
https://www.thawte.com/ssl/secured-seal/installation-agreement/index.html

Opcja Wildcard chroni domenę główną (np. mojadomena.pl) oraz jej wszystkie subdomeny (np. sklep.mojadomena.pl, mobile.mojadomena.pl).

Jeśli twoja działalność opiera się na różnych adresach www w danej domenie -ten typ certyfikatu będzie najlepszym wyborem.

Jeśli potrzebujesz ochrony do czterech różnych subdomen -dobrym i tanim rozwiązaniem będzie GeoTrust Power Serwer ID WIĘCEJ >>

SGC (Server Gated Cryptography) to technologia szyfrowania kluczem 256-bitowym.
Jednocześnie technologia umozliwia przeglądarkom starszym -pracującym w oparciu o szyfrowanie 40-bitowe, mocniejsze szyfrowanie 128-bitowe.

SAN (Subject Alternative Name) to opcja umożliwiająca ochronę SSL dla wielu nazw domenowych na jednym adresie IP.

Podczas generowania pliku CSR należy wpisać nazwy domen, które mają być zabezpieczone w specjalnym polu SAN.

Przykładowo: posiadając na jednym adresie IP domeny moja.pl oraz moja.com, można zakupić certyfikat na domenę moja.pl z opcją SAN na domenę moja.com.

EV (Extended Validation) -opcja wydawana dla podmiotów poddanych bardzo szczegółowej weryfikacji.

Certyfikaty z opcją EV podają szczegółowe informacje o nazwie firmy a sam adres strony szyfrowanej jest podświetlony na zielono w pasku adresowym przeglądarki.

Certyfikaty EV gwarantują najlepszą poufność dokonywanych transakcji i chronią przed atakami phishingowymi.

Klucz prywatny jest generowany w jednym procesie z plikiem CSR. Jest instalowany w certyfikatem SSL otrzymanym od wystawcy certyfikatu.

Należy zachować klucz prywatny w bezpiecznym miejscu.

Nie ma możliwości powtórnego wygenerowania klucza prywatnego (jego utrata oznacza brak możliwości zainstalowania certyfikatu).

W przypadku utraty klucza prywatnego niezbędne jest złożenie nowego zamówienia na podstawie nowego pliku CSR.

Wówczas zostanie wygenerowany nowy klucz prywatny.

CSR (Certificate Signing Request) -plik żądania certyfikatu, na którym ma zostać zainstalowany certyfikat SSL. Plik CSR generuje zazwyczaj administrator serwera.
Do generowania CSR można posłużyć się generatorem CSR dostępnym w Panelu Administracyjnym w sekcji Certyfikaty SSL>> Generuj CSR.

Plik CSR jest przesyłany do jednostki certyfikującej w celu jego podpisania tj. utworzenia właściwego klucza publicznego (certyfikatu SSl).

Podczas generowania pliku CSR należy poprawnie wpisać następujące dane:

CN -Common Name (pełna nazwa domeny) -należy wpisać pełną nazwę domeny, która ma być chroniona certyfikatem SSL np. www.moja.pl , dla opcji WildCard należy zastosować formę *.moja.pl. Jeśli zabezpieczany adres ma nie zawierać prefiksu WWW -należy go pominąć i wpisać moja.pl.

O -Organization Name (pełna nazwa podmiotu, do którego należy domena) -należy wpisać dokładnie te same dane, które są widoczne w bazie WHOis przy certyfikowanej domenie.

OU -Organization Unit (dział firmy zamawiający certyfikat, np. IT); w przypadku certyfikatów typu OV I EB nazwa wpisana w tym polu jest wyświetlana w certyfikacie SSL, dlatego tez należy wpisać dokładną nazwę działu.

C -Country code (kod kraju) -należy podać dwuliterowy kod kraju, musi być wpisany koniecznie wielkimi literami, np. PL;

ST -State or Province (województwo) -należy podać pełna nazwę województwa, np. mazowieckie;

L -Locality (miejscowość) -należy podać nazwę miejscowości, w której mieści się siedziba firmy np. Warszawa;

Email Address -należy podać adres e-mail. Musi być to koniecznie adres w postaci admin@certyfikowanadomena.pl. Jeśli nie posiadasz skrzynki o nazwie admin w adresie domeny, dla której ma zostać wystawiony certyfikat SSL -musisz taka utworzyć. Na adres admin@certyfikowanadomena.pl zostanie wysłane potwierdzenie zamówienia certyfikatu SSL.

Dla certyfikatów typu DV -dane organizacji nie będą widoczne w szczegółach certyfikatu SSL (po kliknięciu prawym przyciskiem myszki na kłódkę)

Dla certyfikatów typu OV -nazwa firmy będzie widoczna w szczegółach certyfikatu SSL;

Dla certyfikatów typu EV -nazwa firmy będzie widoczna w zielonym pasku adresu oraz w szczegółach certyfikatu SSL.

Nie wszyscy dostawcy certyfikatów posiadają opcję, dzięki której jeden certyfikat chroni domenę główną (np. moja.pl) oraz domenę z prefiksem WWW (np. www.moja.pl).

Tą darmową opcję oferują dostawcy:
RapidSSL, GeoTrust

Opcja odnosi się jedynie do domen drugiego poziomu np. moja.pl, moja.com. Nie ma zastosowania do domen II poziomu np.moja.com.pl

Zamawiając certyfikat na domenę należy wpisać domenę z prefiksem WWW (np. www.moja.pl) -domena moja.pl będzie domyślnie chroniona bez dodatkowych opłat.

Czy certyfikaty SSL wydawane są dla domen z narodowymi znakami diakrytycznymi (IDN)?
Tak. Plik CSR generowany jest w tym przypadku dla nazwy domeny z narodowymi znakami diakrytycznymi w postaci IDN.