Сертификат будет выпущен в течение нескольких часов когда домен пройдет валидацию

Что под капотом?

Для функционирования системы, на вашем сервере запускается агент, реализующий протокол ACME (Automatic Certificate Management Environment).

1. Агент на сервере отправляет запрос в Let’s Encrypt CA с указанием домена, который необходимо подтвердить (example.com)
2. CA оценивает домен и генерирует один или более наборов задач (challenge set), решение которых агентом доказывает принадлежность домена. Такие задачи подразделяются на два типа:
   • создание DNS-записи поддомена example.com
   • создание ресурса, доступного по HTTP на известном URI в example.com

3. Дополнительно к задачам валидации домена, генерируется временный атрибут (объект данных), который агент на сервере подпишет своим закрытым ключом, чтобы доказать владение таковым.
4. Агент выполняет один из наборов задач и подписание атрибута и уведомляет CA о готовности к проверке.
5. CA начинает проверку, проверяя электронную цифровую подпись (ЭЦП) и доступность файлов/поддоменов
6. Если ЭЦП верна и задача решена верно, CA считает что агент, идентифицированный по некоторому публичному ключу авторизован для управления сертификатами для домена example.com. Ключевая пара, использованная агентом становится «авторизованной парой ключей» для example.com.

После авторизации агента, он может запросить, обновить или отозвать сертификаты для своего домена (доменов). Соответствующие сообщения должны быть подписаны авторизованной парой ключей.

Для получения сертификата для домена, агент формирует Certificate Signing Request (CSR) PKCS#10 с запросом к Let’s Encrypt CA на выпуск сертификата для example.com с указанным открытым ключом. Как обычно, CSR подписывается закрытым ключом соответствующим отрытому ключу в запросе. Дополнительно, CSR подписывается авторизованным ключом домена, чтобы подтвердить CA легитимность запроса.

По получении запроса, CA верифицирует обе подписи. Если они верны, он выпускает сертификат для example.com с публичным ключом из CSR и возвращает его агенту.

Другие процедуры (обновление, отзыв) работают аналогичным образом.

Оплата SSL сертификата

Если вы оформляете SSL сертификат как Ф, вам следует сначала оплатить заказ, чтобы появилась ссылка для введения технических данных.

, выбравшие оплату по банковскому переводу, могут продолжить заказ , так как банковский перевод занимает время, и мы не хотим заставлять вас ждать. Вместе с подтверждением заказа в новой вкладке откроется счет на оплату:

Также счет можно загрузить в личном кабинете, перейдя по ссылке «Оплатить» напротив заказа.

Перечень всех способов оплаты можно найти здесь.

Если у вас возникли какие-либо вопросы или проблемы с проведением оплаты, обратитесь в нашу службу поддержки.

Оформите заказ SSL сертификата

После регистрации вы получите доступ к разделу Личный кабинет, где вы сможете управлять своими заказами и следить за их выполнением.

Нажав кнопку «Оформить заказ»:

Вам необходимо заполнить регистрационные данные:

После регистрации или входа в учетную запись, вы попадаете на страницу оформления заказа, где следует ввести информацию о себе и/или компании, которую вы представляете:

Пройдите валидацию SSL сертификата

Прохождение проверки зависит от того, какой тип сертификата вы выбрали. В случае email валидации, Вам придет письмо на административный адрес, который Вы выберете из предложенного списка.

Получение SSL сертификата с проверкой домена (DV)

Это сертификат начального уровня, подтверждающий только домен, на который он выписывается, именно поэтому его получение происходит в упрощённой форме и в короткие сроки. Предоставление каких-либо документов не требуется, вам необходимо всего лишь выбрать административный электронный адрес для подтверждения вашего права доступа к домену.

Валидация производится по e-mail: центр сертификации отправит письмо на указанный вами административный электронный адрес на вашем домене, поэтому важно указать правильный актуальный е-мейл.

SSL сертификат с валидацией домена выдается как юридическим, так и физическим лицам.

в течение 2-10 минут

Получение SSL сертификата с подтверждением домена и организации (OV)

SSL сертификат с проверкой компании (Organization Validation SSL) — это цифровой сертификат бизнес уровня, подтверждающий домен и компанию, которой он принадлежит. Чтобы получить такой SSL сертификат вам необходимо:

• Пройти валидацию по email, http(s) или dns cname
• Предоставить данные для проверки карточки компании из ЕГРЮЛ (например, регистрационный номер ИНН/ОГРН).
  Достаточно того, чтобы по данным которые Вы укажите в заказе можно было найти вашу компанию в государственном реестре юридических лиц онлайн.
• Пройти валидацию по телефону (описание ниже)

Валидация производится по телефону: к вам в компанию последует телефонный звонок, необходимо будет подтвердить название организации и доменного имени.

SSL сертификат с проверкой компании (OV) выдается только юридическим лицам и ИП.

от 2 до 5 дней.

Получение SSL сертификата с расширенной проверкой (EV)

Для получения EV SSL сертификата необходимо:

• Пройти валидацию по email, http(s) или dns cname
• Предоставить данные для проверки карточки компании из ЕГРЮЛ (например, регистрационный номер ИНН/ОГРН). 
  Достаточно того, чтобы по данным которые Вы укажите в заказе можно было найти вашу компанию в государственном реестре юридических лиц онлайн.
• Пройти валидацию по телефону (см. описание ниже). 

EV SSL Сертификат выдается исключительно юридическим лицам.

от 2 до 10 дней

Валидация по телефону для SSL сертификатов OV и EV

Для SSL сертификатов с проверкой компании или с расширенной проверкой, валидация производится по телефону. Для этого достаточно записи о компании в одном из общедоступных телефонных справочников (например 2gis.ru, list-org.com, ru.kompass.com). 

Для прохождения проверки по телефону есть три варианта:

1. Предоставление номера DUNS: важно, чтобы данные указанные в записи на dnb.com были актуальными и соответствовали данным в выписке из ЕГРЮЛ. Создание записи в dnb платное. Более подробная информация по ссылке. 
2. Письмо с подписью нотариуса: пример письма можно получить, обратившись в нашу поддержку.
3. Добавление номера в доверенный телефонный справочник: необходимо обратиться к источнику с запросом добавления данных компании, включая номер телефона. 

Адрес и название компании, указанные в любом из этих источников, должны совпадать с данными в вашем заказе, выписке из ЕГРЮЛ и в телефонном справочнике.

На телефон, указанный в них, вам позвонят после назначения наиболее удобного времени.

Звонок производят на английском языке в случае центра сертификации Sectigo (Comodo), в остальных случаях русскоговорящие операторы.

Какие бывают типы проверки SSL-сертификата и чем они отличаются?

DV-сертификаты (Domain Validation). Данный сертификат подтверждает владение доменным именем. Заказать его может как физическое, так и юридическое лицо.Выпуск осуществляется достаточно быстро, на все про все 10-15 минут.

OV-сертификаты (Organization Validation). Данные сертификаты выдаются исключительно для юридических лиц. Центр сертификации проверяет являетесь ли вы владельцем домена, а также проверяет реальное существование организации по данным из открытых источников b2b либо государственных реестров.

Выпуск такого сертификата может занимать от 1 до 3х дней.

EV-сертификаты (Extended Validation). Являются самыми надежными сертификатами. Получить их могут исключительно юридические лица, а для валидации необходимо будет предоставить расширенный пакет документов. Контрольной проверкой будет звонок специалиста удостоверяющего центра на городской контактный номер телефона организации. 

Также EV-сертификаты отличаются наличием зеленой адресной строки, где будет фигурировать название компании. К примеру, именно такими сертификатами пользуются банки для защиты данных своих клиентов. Выпуск EV сертификата занимает до 14 дней.

На примере нашей компании расскажем как произвести заказ и как пройти валидацию того или иного типа сертификата.

После оплаты заказа вы получите письмо на электронную почту, где необходимо пройти активацию сертификата, для этого можно воспользоваться инструкцией.

Активация в личном кабинете происходит в несколько этапов:

1. Генерация CSR запроса

2. Ввод контактных данных

Следующий шаг для (DV, OV, EV сертификатов) это валидация доменного имени.

При необходимости можно воспользоваться инструкцией.

После того, как сертификат будет валидирован удостоверяющим центром на вашу контактную почту будет отправлен сам сертификат и цепочка сертификатов.

На этом получение  DV сертификата закончено, осталось его установить.

 Для сертификатов типа OV и EV валидация продолжается.

Чтобы пройти валидацию юридического лица необходимо:

• Для компаний РФ необходимо предоставить номер ИНН / ОГРН или выписку из ЕГРЮЛ;

• Ссылки на открытые b2b базы данных, где будет фигурировать полное наименование компании, юридический адрес, городской номер телефона.

• Также производитель имеет право запросить DUNS номер ( на данный момент это происходит достаточно редко)

Если компания отсутствует в каталоге D&B, в этом случае необходимо выполнить процедуру получения DUNS номера. 

В России есть представительство Dun & Bradstreet — «Интерфакс — Дан энд Брэдстрит», которое может помочь получить DUNS номер.

На основании информации, полученной из открытых источников, производитель имеет право изменить название организации на соответствующее публичной информации. При этом высылается электронное письмо с просьбой подтвердить изменение данных.

В случае если данные не могут быть заполнены или подтверждены, производитель имеет право отказать в выпуске сертификата.

Завершающим этапом является валидационный звонок указанному контактному лицу с  несколькими вопросами об организации (уточнение названия организации, фамилии и имени контактного лица, доменное имя, а также подтверждение заказа сертификата). Звонок осуществляется поставщиком на английском языке.

После валидации вам будет отправлено электронное письмо с сертификатом.

Для установки сертификата на сайт вы можете связаться с нами либо воспользоваться инструкцией.

Как проверить установлен ли SSL-сертификат

С помощью этого сервиса вы сможете сделать проверку установлен ли на вашем сайте SSL сертификат.

В сервисе будет указана информация: какой SSL сертификат установлен на ваш сайт, поставщик SSL сертификат, срок до которого действует сертификат, а также другие технические детали. Для начала проверки вам необходимо ввести в поле «Server Hostname» название вашего сайта и нажать кнопку «Check SSL«.

Изречения из интернета и суждения тех, кто продает SSL

Рассматривая, чем бесплатный SSL-сертификат отличается от платного, помимо очевидной экономии, нужно отметить срок их действия. Бесплатные сертификаты действуют сравнительно недолго, и требуют постоянного перевыпуска. Например, популярный сертификат Let`s Encrypt нужно заново выпускать каждые три месяца. 

Правда в том, что оба сертификата выглядят равнозначно, и у бесплатного даже больше преимуществ, т.к. его можно поставить в один клик.

Также следует обратить внимание на уровень гарантий. Удостоверяющий центр, выпускающий бесплатный сертификат, не несет ответственности за добросовестность ресурса, где тот установлен. Платные цифровые подписи (OV) напротив, дают возможность проверить владельца сайта. Наличие таких гарантий формируют высокое доверие к сайту у пользователей и в поисковых системах. 

Но по факту, никто не смотрит и не проверяет это. Это больше маркетинг для тех, кто продает такие сертификаты.

Еще одно существенное отличие платных сертификатов от бесплатных — наличие у них финансовых гарантий. В случае утечки пользовательских данных с ресурса, где установлен платный SSL-сертификат, пострадавшая сторона получит компенсацию от центра сертификации. Сумма финансовых гарантий зависит от конкретного вида сертификата. 

Но по факту, еще не было таких судов, т.к. доказать взлом SSL сертификата — практически невозможно.

Установка бесплатных сертификатов связана с решением ряда технических задач, что требует определенных навыков. 

Самому без знаний linux установить такой сертификат на сервер и настроить автоматический выпуск — будет сложновато.

Бесплатные сертификаты, тем не менее, обладают ключевым преимуществом — доступностью. Их часто используют низкобюджетные проекты, стартапы и частные лица, которые не могут позволить себе платные.

Ну или просто умеют их ставить 😉

Источники и ссылки

1. https://letsencrypt.org/
2. https://www.eff.org/deeplinks/2014/11/certificate-authority-encrypt-entire-web
3. https://letsencrypt.org/howitworks/
4. letsencrypt.org/howitworks/technology
5. https://github.com/letsencrypt/acme-spec/blob/master/draft-barnes-acme.md
6. http://www.ietf.org/rfc/rfc2314.txt
7. http://tools.ietf.org/html/rfc2818
8. https://www.globalsign.com/ssl-information-center/types-of-ssl-certificate.html
9. https://cabforum.org/ev-code-signing-certificate-guidelines/
10. https://en.wikipedia.org/wiki/X.690#DER_encoding
11. http://tools.ietf.org/html/rfc5246

Иллюстрации с letsencrypt.org.

Получите SSL сертификат

Установка SSL сертификата полностью зависит от программного обеспечения, используемого на вашем веб-сервере. Чтобы установить SSL сертификат, рекомендуем воспользоваться нашими инструкциями по установке SSL.

Если вы приобрели и корректно установили SSL сертификат, в адресной строке появится символ – закрытый замочек, а URL адрес будет начинаться с расширения https://. Не забудьте поместить на ваш сайт печать доверия (Siteseal/TrustLogo) с подтверждением идентификации сайта сертификационным центром.

И главное: На любом этапе заказа вы можете обратиться к нам и мы с радостью вам поможем с дальнейшим оформлением!

Заполните форму на выдачу SSL сертификата

Далее можно переходить к следующему шагу заказа – введение технических данных для получения SSL сертификата. Для этого вы можете воспользоваться ссылкой «» напротив каждого заказа в разделе «».

В случае, если вы заказали бесплатный тестовый сертификат на 90 дней, или же оформили заказ SSL сертификата от имени юридического лица, сразу после регистрации заказа вам будет предоставлена ссылка на форму для заполнения технических данных.

Вам следует заполнить форму, предоставив необходимую информацию:

Запрос так же можно сформировать и на Вашем сервере. Если у вас уже есть CSR запрос, вы можете проверить его на правильность.

Вы также можете сгенерировать запрос сразу при введении технических данных, поставив галочку напротив соответствующего поля. В этом случае вам нужно будет ввести данные в формуляре на нашем сайте.

• контактные данные технически ответственного лица,

• доменное имя (FQDN) или субдомен, для которых вы планируете использовать ваш SSL сертификат. Обратите внимание, что с 2014 года в связи с их ненадежностью.
• данные об организации при выдаче сертификата с валидацией компании, 
• ввести административный электронный адрес для валидации домена (расположенный на указанном домене). Для сертификатов Sectigo (Comodo) вы также можете выбрать альтернативные методы валидации по http/https.
  Для сертификатов Geotrust, Thawte, Symantec необходимо запрошивать в ручном режиме альтернативные методы валидации домена.

Получите SSL сертификат

Установка SSL сертификата полностью зависит от программного обеспечения, используемого на вашем веб-сервере. Чтобы установить SSL сертификат, рекомендуем воспользоваться нашими инструкциями по установке SSL.

Если вы приобрели и корректно установили SSL сертификат, в адресной строке появится символ – закрытый замочек, а URL адрес будет начинаться с расширения https://. Не забудьте поместить на ваш сайт печать доверия (Siteseal/TrustLogo) с подтверждением идентификации сайта сертификационным центром.

И главное: На любом этапе заказа вы можете обратиться к нам и мы с радостью вам поможем с дальнейшим оформлением!

Domain Validation — Проверка по домену

Данные SSL подтверждают принадлежность домена сайта физическому лицу, они выпускаются от нескольких минут и не требуют сбора документов. Единственное, что потребуется — это доступ к доменному имени и возможность им управлять. Существует несколько способов подтвердить владение доменом: по электронной почте, через запись CNAME DNS или добавление хэш-файла на сайт.

Подтверждение при помощи E-Mail (традиционный способ)

Самый популярный метод проверки прав собственности, используется по умолчанию. Для этого потребуется административная почта и доступ к ней. Если не сможете получить письмо и выполнить инструкции из него, то сертификат не будет выпущен.

• admin@example.com
• administrator@example.com
• hostmaster@example.com
• postmaster@example.com
• webmaster@example.com

Центр сертификации отправит письмо на указанную почту владельца домена. Для прохождения проверки необходимо перейти по ссылке и ввести уникальный код из письма. После завершения данного процесса, на почту придет файл с подписанным сертификатом.

Подтверждение через HTTP / HTTPS хэш-файл

Подтверждение по записи CNAME DNS

Вы можете добавить CNAME-запись в DNS настройках домена. Это более длительный процесс, который зависит от время жизни записи (TTL) на DNS-сервере, максимально он может занять до 24 часов. Для прохождения проверки будут созданы хеши MD5 и SHA, которые нужно ввести в DNS CNAME запись следующим образом:

• Домен: MD5-hash.example.com
• CNAME: SHA-hash.comodoca.com

Для мультидоменного сертификата необходимо добавить CNAME запись для всех доменов указанных при создании запроса.

! Дополнительная ручная проверка

В некоторых случаях центры сертификации могут производить дополнительную проверку. Это замедляет процесс выдачи сертификата на 24-48 часов. Причиной для ручной проверки может стать:

• Наличие известного бренда в названии домена. Это может быть как целенаправленное использование чужого названия, так и случайное совпадение букв в доменном имени.
• Наличие стоп-слов, например: bank, money, trading, transfer, payment, protection, securе, violence, shop и другие.
• Страна поступления заявки: Южная Корея, Северная Корея, Судан, Афганистан, Иран или Ирак.

Если сайт не вызывает доверия у проверяющего центра или является мошенническим, то в выдаче сертификата может быть отказано.

После подтверждения прав собственности на доменное имя, на указанную в заявлении почту будет выдан SSL-сертификат, который уже можно установить на сайт или web-сервер.

Пройдите валидацию SSL сертификата

Прохождение проверки зависит от того, какой тип сертификата вы выбрали. В случае email валидации, Вам придет письмо на административный адрес, который Вы выберете из предложенного списка.

Получение SSL сертификата с проверкой домена (DV)

Это сертификат начального уровня, подтверждающий только домен, на который он выписывается, именно поэтому его получение происходит в упрощённой форме и в короткие сроки. Предоставление каких-либо документов не требуется, вам необходимо всего лишь выбрать административный электронный адрес для подтверждения вашего права доступа к домену.

Валидация производится по e-mail: центр сертификации отправит письмо на указанный вами административный электронный адрес на вашем домене, поэтому важно указать правильный актуальный е-мейл.

SSL сертификат с валидацией домена выдается как юридическим, так и физическим лицам.

в течение 2-10 минут

Получение SSL сертификата с подтверждением домена и организации (OV)

SSL сертификат с проверкой компании (Organization Validation SSL) — это цифровой сертификат бизнес уровня, подтверждающий домен и компанию, которой он принадлежит. Чтобы получить такой SSL сертификат вам необходимо:

• Пройти валидацию по email, http(s) или dns cname
• Предоставить данные для проверки карточки компании из ЕГРЮЛ (например, регистрационный номер ИНН/ОГРН).
  Достаточно того, чтобы по данным которые Вы укажите в заказе можно было найти вашу компанию в государственном реестре юридических лиц онлайн.
• Пройти валидацию по телефону (описание ниже)

Валидация производится по телефону: к вам в компанию последует телефонный звонок, необходимо будет подтвердить название организации и доменного имени.

SSL сертификат с проверкой компании (OV) выдается только юридическим лицам и ИП.

от 2 до 5 дней.

Получение SSL сертификата с расширенной проверкой (EV)

Для получения EV SSL сертификата необходимо:

• Пройти валидацию по email, http(s) или dns cname
• Предоставить данные для проверки карточки компании из ЕГРЮЛ (например, регистрационный номер ИНН/ОГРН). 
  Достаточно того, чтобы по данным которые Вы укажите в заказе можно было найти вашу компанию в государственном реестре юридических лиц онлайн.
• Пройти валидацию по телефону (см. описание ниже). 

EV SSL Сертификат выдается исключительно юридическим лицам.

от 2 до 10 дней

Валидация по телефону для SSL сертификатов OV и EV

Для SSL сертификатов с проверкой компании или с расширенной проверкой, валидация производится по телефону. Для этого достаточно записи о компании в одном из общедоступных телефонных справочников (например 2gis.ru, list-org.com, ru.kompass.com). 

Для прохождения проверки по телефону есть три варианта:

1. Предоставление номера DUNS: важно, чтобы данные указанные в записи на dnb.com были актуальными и соответствовали данным в выписке из ЕГРЮЛ. Создание записи в dnb платное. Более подробная информация по ссылке. 
2. Письмо с подписью нотариуса: пример письма можно получить, обратившись в нашу поддержку.
3. Добавление номера в доверенный телефонный справочник: необходимо обратиться к источнику с запросом добавления данных компании, включая номер телефона. 

Адрес и название компании, указанные в любом из этих источников, должны совпадать с данными в вашем заказе, выписке из ЕГРЮЛ и в телефонном справочнике.

На телефон, указанный в них, вам позвонят после назначения наиболее удобного времени.

Звонок производят на английском языке в случае центра сертификации Sectigo (Comodo), в остальных случаях русскоговорящие операторы.

Выберите SSL сертификат и срок его действия

Первым делом вам следует определиться, какой тип сертификата вам нужен. Выбрать сертификат можно несколькими способами, мы предлагаем воспользоваться удобным фильтром на странице «Купить SSL сертификат«: 

либо в пунктах меню 

• «Продукты» — сертификаты разделены по типу и способу проверки;
• «Бренды» — удобно, если вы уже знаете продукт какого центра сертификации вам нужен;
• подробное описание всех видов SSL сертификатов вы найдете по ссылке. 

Перейдя на страницы со списками продуктов, вы сможете сравнить их характеристики и выбрать наиболее подходящий:

Здесь следует обратить внимание на то, что возможность заказа того или иного типа SSL сертификата зависит от правового статуса будущего владельца сертификата:

• может получить только простой DV SSL сертификат с проверкой домена.
• Индивидуальный предприниматель (ИП) может получить простой сертификат с проверкой домена, а также в некоторых случаях SSL сертификат с проверкой компании (OV).
• может заказать любой SSL сертификат, включая трастовый EV SSL сертификат.

Срок действия SSL сертификата: обратите внимание, что если вы оформляете заказ SSL сертификата сразу на несколько лет, вы получаете сразу несколько преимуществ:

• SSL сертификат обойдется вам дешевле;
• вам не придется тратить время на перевыпуск сертификата (оформление заказа, валидацию и установку на сервере) через год.

Нужно ли самостоятельно считать хэши?

Если описания методов HTTP(S) и DNS пугают вас необходимостью рассчитывать хэши, не волнуйтесь! Подробная информация о том что и куда следует разместить будет направлена центром сертификации после размещения заказа.

Узнать немного больше?

Проблема

• Сгенерировать запрос PKCS#10 [6] — CSR
• Скопировать-Вставить CSR на странице CA
• Доказать владение доменом посредством одного из следующих методов:
  • Разместить выданный CA объект (URI challenge) в заданное место на сервере
  • Разместить выданную CA строчку (DNS challenge) в заданный узел DNS, соответствующий подтверждаемому домену
  • Получить сообщение от CA (email challenge) на (теоретически) контролируемый администратором домена адрес электронной почты и ввести полученный код на странице CA

• Скачать выпущенный сертификат и установить его на сервер.

• Extended Validation (EV) — CA проверяет правомерность использования апликантом доменного имени и характеристики организации (существует, документы в порядке, домен принадлежит организации, организация запросила выпуск сертификата; подробнее в [9])
• Organization Validation (OV) — CA проверяет правомерность использования апликантом доменного имени и принадлежности доменного имени организации
• Domain Validation (DV) — CA проверяет правомерность использования апликантом домена

Из них, DV, наверное, является наиболее популярным (здесь цена, минимальная трудоёмкость и достаточность являются главенствующими факторами). Важно, что для подтверждения на уровне DV все проверки могут быть выполнены CA автоматически, без участия оператора. Это и является ключевой особенностью решения на ACME — выпуск DV-сертификатов, сопоставимый по сложности с выпуском самоподписанного сертификата.

Как подтверждается владение доменом?

Для демонстрации того, что сервер (апликант) действительно авторизован отправлять сообщения от имени некоторого домена, CA работающий по протоколу ACME будет запрашивать решение набора задач (challenge) следующих типов (при этом подразумевается, что разрешение example.com в «подконтрольный» агенту узел должно быть через A или AAAA-запись):

• создание в DNS домена TXT-записи вида _acme-challenge.example.com. содержащую некий coolrandomealfanumerictoken, выдаваемый сервером
• разместить файл так, чтобы он был доступен по URI example.com/magnificientalfanumerictoken, проверка методом GET со стороны CA
• разместить файл так, чтобы он был доступен по URI example.com/yetanothertoken, для чего агент «на скорую руку» поднимает HTTPS; проверка методом GET со строны CA
• поднять HTTPS (используя self-signed сертификат) и принять TLS-соединение от CA. Сертификат формируется таким образом. чтобы содержать (в subjectAltName) проверяемый домен и домен вида <Z>.acme.invalid», где Z = SHA-256(R || S), (R — случайное значение, сообщаемое сервером в процессе обмена; S — случайное, сообщаемое клиентом)
• список может быть в дальнейшем расширен, например планируется электронная почта, DNSSEC, WHOIS

Как происходит обмен клиент-сервер?

Обмен клиента (агента) с сервером (CA) ACME осуществляется по протоколу HTTPS с обменом JSON-сообщениями. Каждое сообщение ACME представляет собой словарь (dictionary), с обязательным полем типа (type), определяющего состав остальных полей сообщения. Все сообщения отправляются на общий HTTPS URI, зашитый в клиент. Клиент, в целом, ведёт себя как браузер, отправляя запросы методом POST, следуя редиректам (статусы 301, 302). Ответы, обычно, приходят со статусом 200, информация об ошибках кодируется в JSON-ответах с типом «error».

Создатели протокола, на мой взгляд, благоразумно предусмотрели тип ответа «defer», позволяющий заставить клиента подождать заданный интервал времени перед повторным запросом. Т.к. сервис, вероятно, будет весьма популярен, то возможность попросить клиента подождать, если сервер, например, перегружен и запрос поставлен в очередь позволит создателям Let’s encrypt (и будущим сервисам на базе этого протокола) снизить затраты на инфраструктуру.

Валидация с помощью записи DNS

Как и в предыдущем способе, CSR запрос, который Вы ввели во время заказ, будет хеширован. Наши сотрудники или центр сертификации пришлют Вам значения хеш, после чего Вам следует внести эти значения в запись DNS CNAME или DNS TXT (в случае GlobalSign и AlphaSSL) для Вашего домена. Значения хеш следует вносить в соответствии с инструкцией полученной от центра сертификации.

Примечание: Для корректной обработки записи, необходимо поставить точку после каждого домена верхнего уровня (TLD).

Примечание 2: Для мультидоменных SSL сертификатов следует создавать запись CNAME/TXT для каждого домена, указанного в CSR запросе.

Например: <Значение MD5 хеша Вашего CSR запроса>.subdomen-1.vash-domain.ru. CNAME <Значение SHA1 хеша Вашего CSR запроса>.comodoca.com. <Значение MD5 хеша Вашего CSR запроса>.subdomen-2.vash-domain.ru. CNAME <Значение SHA1 хеша Вашего CSR запроса>.comodoca.com.

Этот способ валидации может занимать до 24 часов, поэтому мы рекомендуем его использовать только в тех случаях, когда нет возможности обойтись предыдущими. По любым вопросам Вы всегда можете обратиться в нашу поддержку или задать их в комментариях.

Верификация домена по электронной почте (традиционная)

Как правило проверка DCV проводится посредством электронной почты, но здесь есть свои ограничения: адрес e-mail, на который отправляется письмо для валидации должен быть административным и находиться на домене, который планируете защищать SSL сертификатом. Таким образом, это может быть один из следующих адресов на Вашем домене:

• admin@vash-domen.ru
• administrator@vash-domen.ru
• webmaster@vash-domen.ru
• postmaster@vash-domen.ru
• hostmaster@vash-domen.ru
• иногда это может быть e-mail, который указан в регистрационной записи домена (если он не скрыт), даже если он отличается от вышеперечисленных.

На выбранный Вами e-mail адрес придет письмо от центра сертификации, содержащее ссылку и уникальный код Вашего заказа. Все, что от Вас требуется, это перейти по ссылке в письме и в открывшемся окне ввести код или нажать кнопку подтверждения. Если получение сертификата не предусматривает проверку компании или расширенную проверку, Ваш сертификат будет выдан через несколько минут после введения кода из письма.

Но что же делать, если у Вас нет административной электронной почты? И что еще хуже, нет возможности ее создать? Для таких случаев существуют альтернативные методы валидации. К сожалению, они применяются по-разному центрами сертификации. Но заказав один из SSL сертификатов, Вы можете спокойно рассчитывать на использование следующих альтернативных методов валидации.

Как это будет работать?

$ sudo apt-get install lets-encrypt

$ lets-encrypt example.com

После чего example.com становится доступен.

Скрипт (набор скриптов) Let’s Encrypt сделает следующее:

• Автоматически «докажет» серверу CA Let’s Encrypt что вы контролируете сайт (домен)
• Получит сертификат, которому будут доверять браузеры и установит его на ваш сервер, внеся необходимые изменения в конфигурацию
• Будет отслеживать время истечения срока действия (expiration) сертификата и запрашивать его продление
• Поможет с отзывом (revokation) сертификата при необходимости

Всё это — без подтверждения по электронной почте, редактирования конфигурационных файлов, и бесплатно.

Оформите заказ SSL сертификата

После регистрации вы получите доступ к разделу Личный кабинет, где вы сможете управлять своими заказами и следить за их выполнением.

Нажав кнопку «Оформить заказ»:

Вам необходимо заполнить регистрационные данные:

После регистрации или входа в учетную запись, вы попадаете на страницу оформления заказа, где следует ввести информацию о себе и/или компании, которую вы представляете:

Дополнительные услуги

Подобрать сертификат

Воспользуйтесь фильтрами, приведенными ниже. Выберите бренд, требуемый тип защиты и/или метод проверки. При наведении на кнопку фильтра, появится пояснение. После выбора нужного параметра, появится список подходящих сертификатов. 

Карточки содержат информацию о сертификате. Нажмите кнопку «Заказать», чтобы купить SSL сертификат для сайта.

  Сертификаты Sectigo (Comodo), GoGetSSL, Thawte, RapidSSL, GeoTrust и Digicert (Symantec) более не доступны для заказа в связи с приостановкой работы в России. На данный момент для заказа доступны сертификаты GlobalSign сроком на 1 год.

Сейчас все оформляемые SSL из России проходят ручную проверку, поэтому срок выпуска может быть увеличен до 7 дней. 

Проверка домена

Сертификат подверждает только доменное имя. Подходит если домен зарегистрирован на физ.лицо.

Проверка компании

Сертификат подтверждает доменное имя и организацию. Домен защищаемого сайта должен принадлежать организации.

Расширенная проверка

Зелёная адресная строка или иконка в браузерах с названием организации. Домен должен принадлежать организации.

Метод проверки

Если домен зарегистрирован на частное лицо.

Домен должен принадлежать организации.

Домен должен принадлежать организации.

Один домен

Действие сертификата распространяется на защиту 1 домена с www и/или без него.

Субдомены

WildCard SSL обеспечивает защиту основного домена и неограниченного количества его поддоменов одной вложенности: example.com и *.example.com.

Мультидомены

Защищает несколько доменов одним сертификатом. Опция UCC (единый сертификат связи) подходит для серверных решений Microsoft.

Опция защиты

Защищает только 1 домен с www и/или без него.

Защищает основной домен и неограниченное количество его поддоменов одной вложенности: example.com и *.example.com.

• 
  1 домен с WWW и без него
• 
  Проверка домена
• 
  Выпуск от 5 минут
• Поддержка домена .рф

• 
  Базовый уровень доверия

Базовый сертификат для защиты одного сайта, форума, блога, landing page, небольшого интернет-магазина. Подходит для частных лиц. Валидация производится по домену, что означает выпуск в день подачи данных. При оформлении указывайте домен в формате www.example.com, чтобы сертификат защищал и основной домен, и адрес с www. GlobalSign AlphaSSL совместим на 99.3% c браузерами, длина шифрования составляет 2048 бит.

• 
  Шифрование до 256 бит

• 
  1 домен с WWW и без него

• Для дозаказа дополнительных доменов после выпуска SSL-сертификата, потребуется его перевыпуск.

  
  Дополнительные домены (SAN)
  2 199 ₽/год за 1 шт (max – 10 шт)

• 
  Проверка домена
• 
  Выпуск от 5 минут
• 
  Высокий уровень доверия

Стандартный сертификат для защиты 1 домена с www и без. Подойдет для личных или коммерческих сайтов без необходимости прохождения проверки по компании. При оформлении указывайте домен в формате www.example.com, чтобы сертификат защищал и основной домен, и адрес с www. GlobalSign DomainSSL совместим на 99.3% c браузерами. К сертификату прилагается печать доверия.

• 
  Шифрование до 256 бит
• 
  Гарантия $10 000

---

• 
  1 домен + все его поддомены
• 
  Проверка домена
• 
  Выпуск от 5 минут
• Поддержка поддоменов

• Поддержка домена .рф

• 
  Базовый уровень доверия

Базовый сертификат для защиты одного сайта и всех его поддоменов одной вложенности: example.com и *.example.com. Проверка производится по домену, а выпуск возможен в рамках одного рабочего дня. GlobalSign AlphaSSLWildcard совместим на 99.3% c браузерами. К сертификату прилагается печать доверия.

• 
  Шифрование до 256 бит

---

• 
  1 домен с WWW и без него

• Для дозаказа дополнительных доменов после выпуска SSL-сертификата, потребуется его перевыпуск.

  
  Дополнительные домены (SAN)
  3 049 ₽/год за 1 шт (max – 10 шт)

• 
  Проверка компании
• 
  Выпуск от 3 рабочих дней
• 
  Высокий уровень доверия

Подойдет для корпоративного сайта или интернет-магазина. Название организации и адрес домена, прошедшие проверку, будут отображаться в печати доверия сайта и в деталях выданного SSL. При оформлении указывайте сайт в формате www.example.com, чтобы защитить основной домен и адрес с www. Для получения SSL нужен D-U-N-S номер.

• 
  Шифрование до 256 бит
• 
  Гарантия $1 250 000

---

• 
  1 домен + все его поддомены
• 
  Проверка домена
• 
  Выпуск от 5 минут
• Поддержка поддоменов

• Поддержка домена .рф

• 
  Высокий уровень доверия

Защищает один сайт и все поддомены одной вложенности: example.com и *.example.com. Подойдет для физических лиц, ИП, а также для организаций, которые хотят пройти проверку только по домену. Может использоваться для защиты сайта, интернет-магазина, почтового сервера.

• 
  Шифрование до 256 бит
• 
  Гарантия $10 000

---

• 
  1 домен + все его поддомены
• 
  Проверка компании
• 
  Выпуск от 3 рабочих дней
• Поддержка поддоменов

• Поддержка домена .рф

• 
  Высокий уровень доверия

SSL для защиты сайта организации, интернет-магазина, онлайн-сервиса с транзакциями или другого web-ресурса с поддоменами. Сертификат защищает основной сайт example.com и его поддомены  одного уровня вложенности *.example.com. Название организации и адрес домена будут отображаться в печати доверия сайта. Для получения SSL потребуется D-U-N-S номер

• 
  Шифрование до 256 бит
• 
  Гарантия $1 250 000

• 
  1 домен с WWW и без него

• Для дозаказа дополнительных доменов после выпуска SSL-сертификата, потребуется его перевыпуск.

  
  Дополнительные домены (SAN)
  5 999 ₽/год за 1 шт (max – 50 шт)

• 
  Расширенная проверка
• 
  Выпуск от 5 рабочих дней
• 
  Максимальный уровень доверия

Подтверждается имя домена, название и адрес организации. Рекомендован e-commerce сайтам и финансовым организациям. Зеленая полоса и/или название компании в адресной строке браузера вызывают максимальное доверие со стороны пользователей. При оформлении указывайте сайт в формате www.example.com для защиты домена и адреса с www.

• 
  Шифрование до 256 бит
• 
  Гарантия $1 500 000

SSL сертификат и протокол безопасности https

Для того чтобы обезопасить соединение и процесс передачи информации между браузером пользователя и сервером, — сайту необходим SSL сертификат. Он обеспечит защиту данных в Интернете и предоставит гарантию безопасности передаваемой информации.

Протокол https позволяет установить безопасное соединение между сервером и клиентом. Как правило, SSL сертификаты широко востребованы банками и платежными системами, интернет-магазинами и любыми другими организациями, располагающими персональными и платежными данными клиентов, которые требуют тщательной защиты.

Выбор SSL-сертификата

RackStore предлагает большой выбор сертификатов с разными опциями. На каждый сертификат распространяются одна или несколько опций. Предлагаемые нами сертификаты совместимы со всеми известными браузерами, поэтому у посетителя не возникнет проблем при работе с Вашим сайтом.

Для правильного выбора сертификата для защиты сайта или интернет-магазина, пожалуйста, ознакомьтесь со статьей «Как выбрать SSL-сертификат» или обратитесь за консультацией к специалистам RackStore.

Оформление SSL сертификата

Для того, чтобы получить SSL сертификат, необходимо пройти проверку доменного имени. Для этого необходим e-mail адрес в сертифицируемом домене. Такой тип проверки называется DV (Domain Validation).

Также, чтобы оформить SSL сертификат, может потребоваться не только проверка доменного имени, но и принадлежность домена указанной организации — OV (Organization Validation). Перед оформлением заказа убедитесь, что домен действительно принадлежит вашей организации. Для некоторых сертификатов необходимо будет заполнить форму с данными вашей компании.

SSL сертификат и протокол безопасности https

Для того чтобы обезопасить соединение и процесс передачи информации между браузером пользователя и сервером, — сайту необходим SSL сертификат. Он обеспечит защиту данных в Интернете и предоставит гарантию безопасности передаваемой информации.

Протокол https позволяет установить безопасное соединение между сервером и клиентом. Как правило, SSL сертификаты широко востребованы банками и платежными системами, интернет-магазинами и любыми другими организациями, располагающими персональными и платежными данными клиентов, которые требуют тщательной защиты.

Выбор SSL-сертификата

RackStore предлагает большой выбор сертификатов с разными опциями. На каждый сертификат распространяются одна или несколько опций. Предлагаемые нами сертификаты совместимы со всеми известными браузерами, поэтому у посетителя не возникнет проблем при работе с Вашим сайтом.

Для правильного выбора сертификата для защиты сайта или интернет-магазина, пожалуйста, ознакомьтесь со статьей «Как выбрать SSL-сертификат» или обратитесь за консультацией к специалистам RackStore.

Оформление SSL сертификата

Для того, чтобы получить SSL сертификат, необходимо пройти проверку доменного имени. Для этого необходим e-mail адрес в сертифицируемом домене. Такой тип проверки называется DV (Domain Validation).

Также, чтобы оформить SSL сертификат, может потребоваться не только проверка доменного имени, но и принадлежность домена указанной организации — OV (Organization Validation). Перед оформлением заказа убедитесь, что домен действительно принадлежит вашей организации. Для некоторых сертификатов необходимо будет заполнить форму с данными вашей компании.

Show me your code!

(Здесь нужно, на всякий случай, заметить, что код не мой, я просто сочувствующий)

Клиентская часть написана на Python, есть в превью на GitHub: https://github.com/letsencrypt/lets-encrypt-preview и он уже умеет настроить Apache (под nginx есть заглушка)

Серверная часть написана на JS, GitHub: https://github.com/letsencrypt/node-acme

В вики проекта можно найти информацию о том, как всё это попробовать на своём сервере.

Заполните форму на выдачу SSL сертификата

Далее можно переходить к следующему шагу заказа – введение технических данных для получения SSL сертификата. Для этого вы можете воспользоваться ссылкой «» напротив каждого заказа в разделе «».

В случае, если вы заказали бесплатный тестовый сертификат на 90 дней, или же оформили заказ SSL сертификата от имени юридического лица, сразу после регистрации заказа вам будет предоставлена ссылка на форму для заполнения технических данных.

Вам следует заполнить форму, предоставив необходимую информацию:

Запрос так же можно сформировать и на Вашем сервере. Если у вас уже есть CSR запрос, вы можете проверить его на правильность.

Вы также можете сгенерировать запрос сразу при введении технических данных, поставив галочку напротив соответствующего поля. В этом случае вам нужно будет ввести данные в формуляре на нашем сайте.

• контактные данные технически ответственного лица,

• доменное имя (FQDN) или субдомен, для которых вы планируете использовать ваш SSL сертификат. Обратите внимание, что с 2014 года в связи с их ненадежностью.
• данные об организации при выдаче сертификата с валидацией компании, 
• ввести административный электронный адрес для валидации домена (расположенный на указанном домене). Для сертификатов Sectigo (Comodo) вы также можете выбать альтернативные методы валидации по http/https.
  Для сертификатов Geotrust, Thawte, Symantec необходимо запрошивать в ручном режиме альтернативные методы валидации домена.

Оплата SSL сертификата

Если вы оформляете SSL сертификат как Ф, вам следует оплатить заказ, чтобы появилась ссылка для введения технических данных.

, выбравшие оплату по банковскому переводу, могут продолжить заказ , так как банковский перевод занимает время, и мы не хотим заставлять вас ждать. Вместе с подтверждением заказа в новой вкладке откроется счет на оплату:

Также счет можно загрузить в личном кабинете, перейдя по ссылке «Оплатить» напротив заказа.

Перечень всех способов оплаты можно найти здесь.

Если у вас возникли какие-либо вопросы или проблемы с проведением оплаты, обратитесь в нашу службу поддержки.

Organization Validation — Проверка организации

Такой сертификат гарантирует, что домен принадлежит конкретней организации. Это вызывает больше доверия со стороны пользователей сайта, но более сложный процесс, который включает в себя три этапа:

1. Проверка владения доменом
2. Проверка данных компании
3. Телефонный звонок

Весь процесс занимает несколько рабочих дней при условии, что все документы верны и предоставлены вовремя.

Шаг 1. Проверка владения доменом

Для прохождения проверки доменное имя должно принадлежать компании, о чем может свидетельствовать общедоступная запись в сервисе WHOIS. Данные в WHOIS должны совпадать с теми, что указаны в CSR-запросе. Дополнительно может быть запрошено свидетельство о регистрации доменного имени.

Существует несколько способов подтвердить владение доменом: по электронной почте, через запись CNAME DNS или добавление хэш-файла на сайт. Самый распространенный и доступный для всех центров сертификации метод — это проверка по email. На указанный административный адрес придет письмо с простым руководством по подтверждению почты.

Шаг 2. Проверка данных организации

Чтобы пройти проверку организации, потребуется предоставить документы о компании. На указанный e-mail будет отправлено письмо с запросом копий документов организации. Вы можете предоставить один из вариантов наборов документов и данных. Сертификационный центр может запросить дополнительные данные.

Для ИП часто требуют похода к нотариусу для заверения документов. При этом, правомочия нотариуса будут проверены в открытых источниках, а аутентичность заверенного документа — может быть уточнена телефонным звонком.

! Мы рекомендуем добавить информацию о своей организации в популярные источники и справочники Рунета, как yell.ru или yp.ru еще до заказа SSL-сертификата. Центры будут проверять открытые источники для сравнения актуальности данных.

• Вариант 1

В большинстве случаев будет достаточно выписки из ЕГРЮЛ и свидетельства о постановке на учет в налоговом органе. Проверка юридического существования компании будет проводиться через государственную базу данных. Центр сертификации может использовать для этих целей сайт egrul.nalog.ru. Перед началом процесса получения сертификата, поверьте находится ли компания в реестре федеральной налоговой службы.

• Вариант 2

Компания может быть проверена через открытые сторонние базы данных, такие как:

D-U-N-S — это международный номер организации на сайте dandb.com. DUNS-номер можно получить бесплатно если фирма зарегистрирована на территории США или компания является разработчиком приложений для Apple. Возможна и платная регистрация в каталоге, что обойдется более 200$.

• Вариант 3

Предоставление документов, подтверждающих адрес и телефон компании:

• Устав компании (с адресом).
• Лицензия на ведение бизнеса (с адресом).
• Копия недавней выписки из банковского счета компании.
• Копия недавнего телефонного счета компании.
• Копия недавнего основного счета за коммунальные услуги компании (то есть счета за электроэнергию, счета за воду и т. д.) Или действующего договора аренды офиса компании.

Шаг 3. Телефонный звонок

Для проверки может быть использован автоматический звонок, при котором представитель центра (скорее всего робот) продиктует код подтверждения. Важно, чтобы сотрудник, чьи данные были указаны в административных контактах CSR-заявки на выпуск сертификата, был проинформирован о возможном звонке, знал название защищаемого доменного имени и заказанного SSL-сертификата.

После прохождения всех проверок, сертификат будет выслан на указанный в заявке e-mail. Вы можете переходить к его установке.