デジタルSSL証明書。 品種、選択方法

多くのデジタル証明書があり、それぞれが独自の目的に役立ちます。 証明書の最も一般的なタイプは、当然SSL証明書であり、これにはいくつかのサブタイプもあります。 コード署名証明書、Webサイトマルウェア対策スキャナー証明書、およびユニファイドコミュニケーション証明書もあります。

あらゆる種類の証明書を販売しているため、証明書に関する一定の経験と、特定の状況に適した証明書を選択する方法に関する知識を獲得しています。 この情報を共有するためにいくつかの投稿を試みます。

したがって、サイトの安全なhttps接続を確立するタスクがある場合は、この投稿でSSL証明書のすべての詳細と機能を明らかにして、正しい選択を容易にするようにします。

最も一般的なSSL証明書から始めましょう。

SSL証明書は、現時点でインターネット上で最も一般的な種類の証明書です。 ほとんどの場合、オンラインストア、つまり注文機能があり、顧客が個人データを入力するサイトで使用されます。 ブラウザからサーバーへの転送時にこのデータを傍受できないようにするために、すべての送信データを暗号化する特別なHTTPSプロトコルが使用されます。

HTTPSプロトコルを操作する機能を有効にするには、デジタルSSL証明書が必要です（特定のサイト専用のIPも必要です）。

SSL証明書とは何ですか？

SSLは、Webサーバー（サイト）とブラウザ間の暗号化された接続を提供するために使用される標準のインターネットセキュリティテクノロジであるSecure Socket Layerの略です。 SSL証明書により、httpsプロトコルを使用できます。 これは、ブラウザーからサーバーに転送される情報がプライベートのままであることを保証する安全な接続です。 つまり、ハッカーや情報を盗もうとする人から保護されています。 SSLを使用する最も一般的な例の1つは、オンライントランザクション（商品の購入、支払い）中のクライアントの保護です。

SSL証明書を取得する方法は？

最も簡単で最も無料の方法は、いわゆる自己署名証明書を使用することです。これは、Webサーバーで直接生成できます。 ちなみに、最も一般的なすべてのホスティングコントロールパネル（Cpanel、ISPmanager、Directadmin）では、この機能はデフォルトで使用できるため、ここでは証明書作成プロセスの技術面を省略します。

さらに、自己署名証明書はその価格であり、むしろ不在です。これは、そのような証明書に対して1ダイムも支払わないためです。 ただし、マイナスの点は、すべてのブラウザがそのような証明書に対してエラーを表示し、サイトが検証されていないという警告が表示されることです。


つまり、公式の目的および内部使用のために、このような証明書は適していますが、公開サイト、さらにはサービスを販売するサイトにとっては、このような証明書は禁忌です。 自分で判断して、サービスを注文するときに、クライアントにこのエラーを画面全体に表示してほしいですか？ 実践が示すように、ほとんどの顧客はそのようなページをenter迷に陥れ、注文をさらに続けたいという欲求を落胆させます。

ブラウザが自己署名証明書に対してこのような警告を出すのはなぜですか？これを回避する方法は？ この質問に答えるには、SSL証明書自体の原理について少し話す必要があります。

SSL証明書はどのように機能しますか？

したがって、SSL証明書を取得するために最初に行うことは、証明書発行の特別な要求、いわゆる（証明書署名要求）を作成することです。 このリクエストを作成する際には、ドメインと会社に関する詳細を明確にするために一連の質問が求められます。 完了すると、Webサーバーは2種類の暗号化キー（秘密キーと公開キー）を作成します。

公開鍵は秘密ではなく、CSRリクエストに配置されます。
そのようなリクエストの例を次に示します。
-----証明書リクエストの開始-----
MIIC3zCCAccCAQAwgZkxCzAJBgNVBAYTAlVBMQ0wCwYDVQQIEwRLaWV2MQ0wCwYD
VQQHEwRLaWV2MRQwEgYDVQQKEwtIb3N0QXV0b21hdDEQMA4GA1UECxMHaG9zdGlu
ZzEmMCQGCSqGSIb3DQEJARYXc3VwcG9ydEBob3N0YXV0b21hdC5jb20xHDAaBgNV
BAMTE3d3dy5ob3N0YXV0b21hdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
ggEKAoIBAQDTg7iUv / iX + SyZl74GcUVFHjFC5IqlTNEzWgLWrsSmxGxlGzXkUKid
NyXWa0O3ayJHOiv1BSX1l672tTqeHxhGuM6F7l5FTRWUyFHUxSU2Kmci6vR6fw5c
cgWOMMNdMg7V5bMOD8tfI74oBkVE7hV95Ds3c594u7kMLvHR + xui2S3z2JJQEwCh
mflIojGnSCO / iv64RL9vjZ5B4jAWJwrruIXO5ILTdis41Z1nNIx3bBqkif0H / G4e
O5WF6fFb7etm8M + d8ebkqEztRAVdhXvTGBZ4Mt2DOV / bV4e / ffmQJxffTYEqWg8w
b465GdAJcLhhiSaHgqRzrprKns7QSGjdAgMBAAGgADANBgkqhkiG9w0BAQUFAAOC
AQEAuCfJKehyjt7N1IDv44dd + V61MIqlDhna0LCXH1uT7R9H8mdlnuk8yevEcCRI
krnWAlA9GT3VkOY3Il4WTGg3wmtq6WAgLkVXQnhIpGDdYAflpAVeMKil8Z46BGIh
KQGngL2PjWdhMVLlRTB / 01nVSKSEk2jhO8 + 7yLOY1MoGIvwAEF4CL1lAjov8U4XG
NfQldSWT1o8z9sDeGsGSf5DAXpcccx0gCyk90HFJxhbm / vTxjJgchUFro / 0goVpB
credpKxtkwBMuCzeSyDnkQft0eLtZ9b9Q4 + ZNDWsPPKxo / zWHm6Pa / 4F4o2QKvPC
Px9x4fm + / xHqkhkR79LxJ + EHzQ ==
-----証明書リクエストの終了-----

このキーに含まれるデータは、CSR Decoderサービスを使用して簡単に確認できます。 例： CSRデコーダー1またはCSRデコーダー2 。 2番目のサービスは、CSRに関する詳細情報を提供し、有効性、つまりスキャン結果の署名フィールドを確認します。

そのようなリクエストを復号化のためにフォームに挿入すると、公開キーに含まれるデータが表示されます。

CSR情報：
共通名：tuthost.ua-このような証明書で保護するドメイン名
組織：TutHost-ドメインが属する組織の名前
組織単位：ホスティング部門-組織単位
ローカリティ：キエフ-組織のオフィスがある都市
州：キエフ-地域または州
国：UA-2文字のコード、勤務国。
電子メール：support@tuthost.com-技術管理者またはサポートサービスの連絡先電子メール

重要な点 -国フィールドに注意してください-このフィールドの形式は、ISO 3166-1標準に基づいた2文字のコードのみを意味します。国のコードがわからない場合は、 表ISO-3166-1で確認できます。 CSRリクエストを生成する際にお客様が犯す最も一般的な間違いは、間違った国コードであるため、この分野に注目しています。 その結果、そのようなCSRで証明書を発行することは不可能です。

CSRが生成されたら、証明書の発行申請に進むことができます。 このプロセス中に、証明機関（CA-証明機関）は入力されたデータを検証し、検証に成功すると、データと共にSSL証明書を発行し、HTTPSを使用できるようにします。 サーバーは、発行された証明書と生成された秘密キーを自動的に照合します。 これは、サイトとクライアントブラウザの間に暗号化された安全な接続を提供する準備ができていることを意味します。

SSL証明書にはどのデータが含まれていますか？

次の情報が証明書に保存されます。

• 証明書所有者の完全な（一意の）名前
• 所有者の公開鍵
• SSL証明書の発行日
• 証明書の有効期限
• 証明機関の完全な（一意の）名前
• 出版社のデジタル署名

認証局（CA）とは何ですか？

これは、デジタル証明書を発行する権利を持つ組織です。 証明書を発行する前に、CSRに含まれるデータをチェックします。 最も単純な証明書では、ドメイン名の適合性のみがチェックされ、最も高価な証明書では、証明書を要求する組織自体に対していくつかのチェックが行われます。 これについては以下で説明します。

そのため、証明機関によって発行された自己署名付きの無料証明書と有料証明書の違いは、証明書のデータが証明機関によって検証されるという事実にあり、サイトでそのような証明書を使用する場合、訪問者は画面全体に大きなエラーを見ることはありません。

一般的に、SSL証明書には、ドメイン名、組織名、住所、都市、およびページ（少なくとも1つ）が含まれ表示されます。 また、証明書には常に有効期限と証明書の発行を担当する証明機関に関する情報が含まれています。 ブラウザーは安全なサイトに接続し、そこからSSL証明書を受信して​​一連のチェックを行います：証明書を失効させず、その後、既知の認証局（CA）によって証明書が発行されているかどうか、および発行されたサイトで証明書が使用されているかどうかを確認します

これらのパラメーターのいずれかが失敗すると、ブラウザーは訪問者に警告を表示して、このサイトが安全なSSL接続を使用していないことを通知します。 彼はサイトを離れるか、ブラウジングを続けることを申し出ますが、細心の注意を払っています。 これはあなたがあなたの潜在的な顧客に会うべき最後のものです。

認定センターは多数ありますが、ここに最も人気のあるリストを示します。
Comodo-1998年以来、米国ニュージャージー州ジャージーシティに本社を置いて事業を展開しています。
Geotrust-2001年に設立され、2006年に米国カリフォルニア州マウンテンビューの本社であるベリサインによって販売されました。
Symantec-以前のVerisign。Geotrustも含まれます。 2010年にみんなを買いました。
Thawte-1995年に設立され、1999年にVerisignによって販売されました。
Trustwave-1995年以来営業しており、本社は米国イリノイ州シカゴにあります。

ご覧のとおり、SSL証明書市場で最大のプレーヤーは、Thawte、Verisgin、Geotrustの3つの最大の認証機関を所有するSymantecです。

証明書を注文する認証局に違いはありますか？

さまざまな認証局の主な違いは、証明書の価格と、ルート証明書がインストールされているブラウザーの数です。 結局のところ、ブラウザがこの認証局のルート証明書を持っていない場合、そのようなブラウザを使用する訪問者は、そのようなセンターからの証明書を使用してサイトに入るときにエラーを受け取ります。
上記の証明機関に関しては、それらのルート証明書はおそらくすべての既存のブラウザーの99.99％にインストールされています。

ブラウザに認証局がインストールされているルート証明書を確認するには、ブラウザ設定でそのようなオプションを見つけるだけで十分です。 （Chromeの設定->詳細設定を表示->証明書管理->信頼されたルート証明機関）。 Chromeには、これらのルート証明書が50個以上あります。

重要な点は、サーバーにSSL証明書がインストールされたときにクライアントで頻繁に状況が発生しましたが、サイトに入ると、ブラウザーがエラーを表示することです。 このような状況は、発行センターのルート証明書がca-bundle.crtファイルにないか、ルート証明書が古いために発生する可能性があります。 ルート証明書には有効期間もあります（ブラウザでは、ブラウザが更新されると更新されます）。

2010年7月以降、認証センターは2048ビットRSAキーの使用に切り替えました。そのため、すべての新しい証明書を正しく動作させるには、新しいルート証明書をインストールする必要があります。
新しいルート証明書がインストールされていない場合、証明書の正しいインストールおよび一部のブラウザによる認識で問題が発生する可能性があります。
新しいルート証明書をダウンロードできる証明機関のページへのリンクを以下に示します。

RapidSSL証明書

• インストール手順
• ルートCA証明書

GeoTrust SSL証明書

• インストール手順
• ルートCA証明書

Thawte SSL証明書

• インストール手順
• ルートCA証明書

VeriSign SSL証明書

• インストール手順
• ルートCA証明書

証明書を証明機関から直接購入することは、エンドユーザーの価格がパートナーの価格よりもかなり高いため、利益がありません。また、会計でそのような購入を終了する必要がある場合、これも困難になります。 そのような証明書をパートナーを通じて購入することが最も有益です。 パートナーは証明書をまとめて購入し、特別な価格を持っているため、証明書を直接認証センターで販売するよりもはるかに安価に販売できます。

したがって、SSL証明書の種類に近づきます。

どのような種類のSSL証明書が存在しますか？

それらの間で、証明書はプロパティと検証レベルが異なります。

検証の種類ごとの証明書の種類

• ドメイン名のみを確認する証明書（ドメイン検証-DV）。
• ドメインと組織を確認する証明書（組織の検証-OV）。
• 高度な検証付き証明書（エクステンデット検証-EV）。

それらを順番に処理します。

ドメインのみの証明書

これらは最も簡単な証明書です。証明書が緊急に必要な場合は、自動的かつ即座に発行されるため、選択することができます。
そのような証明書を確認するとき、証明書の発行を確認するためにクリックする必要がある特別なリンクを含むレターが送信されます。

重要な点は、この手紙は、証明書を注文するときに指定するいわゆる承認者の電子メールにのみ送信できることです。 また、承認者の電子メールアドレスには特定の要件があり、証明書を注文したドメインと同じドメインに存在するか、ドメインのwhoisで指定する必要があります。
証明書と同じドメインで電子メールを指定する場合、エマールも指定できません。テンプレートのいずれかと一致する必要があります。
管理者@
管理者@
ホストマスター@
ポストマスター@
ウェブマスター@

もう1つの重要なポイント：すぐに発行される証明書は、認証局による追加の手動検証のために落ちることがあり、検証用の証明書はランダムに選択されます。 そのため、証明書がすぐに発行されない可能性はわずかであることに注意してください。

証明機関が、申請者が指定されたドメイン名に対する権利を持っていることを確認したときに、ドメイン検証付きのSSL証明書が発行されます。 組織に関する情報の検証は実行されず、組織に関する情報は証明書に表示されません。

組織検証付きの証明書。

このような証明書には、組織の名前がす​​でに示されています。 個人はそのような証明書を受け取ることができません。 このような証明書を発行する期間は、認証局に応じて通常3〜10営業日です。

OV証明書を発行するプロセス

組織の検証を伴う証明書の発行要求を受け取った後、認証センターは、CSRに示されているように組織が実際に存在するかどうか、および指定されたドメインがそれに属しているかどうかを確認します。

そのような場合に何がチェックされますか？

さまざまな認証機関では、検証はわずかに異なるため、確認または要求できるポイントの一般的なリストを示します。

1. 国際イエローページでの組織の存在-すべての認証センターでチェックされていません
2. whoisドメイン内の組織の名前の存在—ただし、これは既に確認されており、そのような名前がそこに示されていない場合、ドメインが本当に組織に属していることを示す必要がある保証書が必要になる可能性が高く、レジストラからの確認が必要になる場合があります
3. 州の登録証明書-ますます必要性が少なくなりました。現在では、チャネルを通じて組織の存在を確認する特別な会社を通じて確認が行われることが多くなっています。 たとえば、ウクライナの場合、EDRPOUに基づいて確認できます。
4. 電話会社からの請求書。組織の名前と注文に記載されている電話番号が記載されています。これにより、電話の有効性が確認されます。 需要はますます少なくなっています。
5. 通話のテスト-ますます、注文で指定した電話番号に電話をかけることで、電話の正当性がチェックされます。 電話をかけるとき、管理者の連絡先に示されている従業員に尋ねます。 すべての認証局にロシア語を話す従業員がいるわけではないため、電話に応答する人に英語を話す会社からの電話が可能であることを通知してください。

高度な検証証明書。

これらは最も高価な証明書であり、入手が最も困難です。 このような証明書には、いわゆる「緑のバー」が含まれています。つまり、証明書がインストールされているサイトに入ると、訪問者のブラウザーのアドレスバーに緑の線が表示され、証明書を受け取った組織の名前を示します

ThawteのWebサイトでの表示は次のとおりです。


そのような証明書は、サイトへの上級訪問者の間で最高レベルの信頼を持っています。証明書は、会社が実際に存在し、完全な監査に合格し、サイトが実際に所属していることを示すためです。

高度な検証（EV）を伴うSSL証明書は、認証機関（CA）が2つのチェックを実行して、特定のドメインと認証機関が組織の完全な監査を実行する権限を組織が持っていることを確認する場合にのみ発行されます。 EV証明書を発行するプロセスは標準化されており、2007 CA / Browser Forumで作成されたEVルールに厳密に準拠する必要があります。 EV証明書を発行する前に証明機関が実行する必要がある手順を示します。

1. 対象の法的、身体的、および運用上の活動を確認する必要があります。
2. 組織が公式文書に準拠していることを確認する必要があります。
3. EV証明書で指定されたドメインを使用する排他的権利が組織にあることを確認する必要があります。
4. 組織がEV証明書の発行を完全に許可されていることを確認する必要があります。

具体的に検証されるもののリストは、組織の検証を伴う証明書のリストと同じです。

EV証明書は、政府や非営利組織を含むあらゆる種類の企業に使用されます。 リリースには10〜14日かかります。

ルールの2番目の部分は認証局に関連しており、EV証明書を発行する許可を取得する前に認証局が満たさなければならない基準を説明しています。 EV監査ルールと呼ばれ、毎年これらのルールへの準拠のチェックが行われます。

プロパティによるSSL証明書の種類。

通常のSSL証明書

ここではすべてが明確です。これらは自動的に発行され、ドメインのみを確認する証明書です。 すべてのサイトに適しています。
価格：年間20ドルから

SGC証明書

拡張暗号化をサポートする証明書。 40または56ビット暗号化のみをサポートする非常に古いブラウザで実際に使用されます。 この証明書を使用する場合、暗号化レベルは128ビットに強制されます。
常に、このような証明書を複数購入したことはありません。 私の意見では、非常に古い鉄が保存されている大企業での内部使用を除いて、それらはもはや必要ではないということです。
価格：年間300ドルから。

ワイルドカード証明書

これらは、メインドメインに加えて、同じドメインのすべてのサブドメインでも暗号化を提供する必要がある場合に必要です。 例：domain.comドメインがあり、support.domain.com、forum.domain.com、およびbilling.domain.comに同じ証明書をインストールする必要があります

ヒント：証明書が必要なサブドメインの数を数えます。通常、いくつかの通常の証明書を個別に購入する方が有利な場合があります。
価格：年間180ドルから。 ご覧のとおり、サブドメインが9つ未満の場合は、通常の証明書を購入する方が安くなりますが、ワイルドカードを1つ使用すると便利です。

SAN証明書

同じサーバーでホストされている複数の異なるドメインに1つの証明書を使用する場合に便利です。 通常、このような証明書には5つのドメインが含まれ、その数は5単位で増やすことができます。
価格：年間395ドルから

EV証明書

これらは、上記で説明した拡張検証とブラウザーの緑色の線を備えた同じ証明書です。 法人、商業、非営利団体、または州の組織のみがそれらを受け取ることができます。
価格：年間250ドルから。

IDNサポート証明書

原則として、すべての認証局が証明書の説明でこのオプションを指定しているわけではありませんが、すべての証明書がIDNドメインをサポートしているわけではありません。 したがって、このサポートがある証明書をここにリストします。

• Thawte SSL123証明書
• Thawte SSL Webサーバー
• シマンテックセキュアサイト
• Thawte SGC SuperCerts
• Thawte SSL Webサーバーワイルドカード
• EVを使用したThawte SSL Webサーバー
• Symantec Secure Site Pro
• EVを使用したSymantec Secure Site
• EVを使用したSymantec Secure Site Pro

最も安い証明書を選択する方法は？

Geotrustは最も安価なSAN証明書を持っています。 サイトのみの検証付きの証明書とワイルドカードは、RapidSSLで最も利益があります。 EV証明書はGeotrustからも最も安価です。 ThawteとVerisignのみがSGC証明書を持っていますが、Thawteは安価です。

証明書の違いは何ですか

• リリースの速度。 ドメインのみの検証で最も高速に発行された証明書で、EV検証で最も長く、7営業日から。
• 証明書の再発行の回数は、ほとんどの認証局で無制限です。 組織データを間違えた場合に必要です。
• 保証-一部の証明書については、10,000ドルの保証があります。 この保証は、おそらく証明書の購入者ではなく、証明書がインストールされているサイトの訪問者に対するものです。 そのような証明書を持つサイト訪問者が詐欺に苦しんでお金を失った場合、認証センターは保証で指定された金額まで補償する義務があります。 つまり、証明機関は、現状のままで、その証明書に保証を与え、「左」ドメインにインストールできないことを保証します。 実際には、このようなケースは私には知られていないため、このパラメーターは無視できます。
• 無料試用期間-シマンテックセキュアサイト、geotrust rapidssl、comodo positive ssl、thawte ssl Webサーバーは証明書を支払いました。 テスト用に無料の証明書を使用することもできます。StartSSL™Free
• 払い戻し-ほとんどすべての証明書には30日がありますが、返金期間のない証明書もあります

便利なユーティリティ：

1. OpenSSLは、公開鍵（証明書要求）と秘密鍵を生成するための最も一般的なユーティリティです。
   http://www.openssl.org/
2. CSR Decoder-CSRおよびCSRに含まれるデータをチェックするためのユーティリティ。証明書を注文する前に使用することをお勧めします。
   CSRデコーダー1またはCSRデコーダー2
   
3. DigiCert Certificate Tester-証明書自体をチェックするユーティリティ
   http://www.digicert.com/help/?rid=011592
   http://www.sslshopper.com/ssl-checker.html
   

次のパートでは、他の種類の証明書について説明します。

PSコメントでSSL証明書の選択に関連する質問に回答させていただきます。
PPS SSL証明書の30％割引を希望する方は、PMにご記入ください。

更新： 重要なポイント -一部の証明書はwwwのあるドメインとwwwのないドメインで機能します。つまり、 www.domain.comとdomain.comを保護するには1つの証明書で十分ですが、 www.domain.comで注文する必要があります。
証明書の実際：
•RapidSSL
•QuickSSLプレミアム
•真のBusinessID
•EVを使用した真のBusinessID