Убедитесь, что в настройках антивируса отключена подмена ssl https сертификата сервера

Обновлено: 21.11.2024

Secure Sockets Layer (SSL) и безопасность транспортного уровня (TLS) — это протоколы, которые обеспечивают безопасную связь по компьютерной сети или каналу.

Они обычно используются при просмотре веб-страниц и электронной почте.

В этом уроке мы рассмотрим:

  • TLS и SSL
  • Открытые и закрытые ключи
  • Зачем нужны сертификаты и что они делают
  • Как получить цифровой сертификат и разобраться в различных распространенных типах сертификатов.

Что такое TLS

TLS основан на SSL и был разработан в качестве замены в ответ на известные уязвимости в SSLv3.

SSL — это широко используемый термин, который сегодня обычно относится к TLS.

Обеспечение безопасности

SSL/TLS обеспечивает шифрование данных, целостность данных и аутентификацию.

Это означает, что при использовании SSL/TLS вы можете быть уверены, что

  • Никто не читал ваше сообщение
  • Никто не изменил ваше сообщение
  • Вы общаетесь с предполагаемым лицом (сервером)

При отправке сообщения между двумя сторонами возникают две проблемы, которые необходимо решить.

  • Как узнать, что никто не прочитал сообщение?
  • Откуда вы знаете, что никто не изменил сообщение?

Решения этих проблем заключаются в следующем:

  • Зашифровать. Это делает содержимое нечитаемым, так что для любого, кто просматривает сообщение, оно просто тарабарщина.
  • Подпишите его. Это позволяет получателю быть уверенным, что это вы отправили сообщение и что оно не было изменено.

Оба этих процесса требуют использования ключей.

Эти ключи представляют собой просто числа (обычно 128 бит), которые затем объединяются с сообщением с использованием определенного метода, широко известного как алгоритм, например. RSA для шифрования или подписи сообщения.

Симметричные ключи, открытые и закрытые ключи

Почти все современные методы шифрования используют открытые и закрытые ключи.

Они считаются гораздо более безопасными, чем старые симметричные ключи.

С симметричным ключом ключ используется для шифрования или подписи сообщения, и тот же ключ используется для расшифровки сообщения.

Это то же самое, что и ключи (от двери, от машины), с которыми мы имеем дело в повседневной жизни.

Проблема с таким расположением ключей заключается в том, что если вы потеряете ключ, любой, кто его найдет, сможет открыть вашу дверь.

С открытым и закрытым ключами используются два ключа, которые математически связаны (они принадлежат как пара ключей), но различны.

Это означает, что сообщение, зашифрованное с помощью открытого ключа, нельзя расшифровать с помощью того же открытого ключа.

Чтобы расшифровать сообщение, вам нужен закрытый ключ.

Если этот тип расположения ключей использовался с вашим автомобилем. Тогда можно было бы запереть машину, а ключ оставить в замке, так как тем же ключом машину не открыть.

Этот тип расположения ключей очень безопасен и используется во всех современных системах шифрования/подписи.

Ключи и SSL-сертификаты

SSL/TLS используют систему открытых и закрытых ключей для шифрования и обеспечения целостности данных.

Открытые ключи могут быть доступны любому, отсюда и термин "общедоступный".

В связи с этим возникает вопрос доверия, а именно:

Как узнать, что конкретный открытый ключ принадлежит лицу/организации, за которое он себя выдает.

Например, вы получили ключ, якобы принадлежащий вашему банку.

Откуда вы знаете, что он действительно принадлежит вашему банку?

Ответ заключается в использовании цифрового сертификата.

Сертификат служит той же цели, что и паспорт в повседневной жизни.

Паспорт установил связь между фотографией и человеком, и эта связь была проверена доверенным органом (паспортным столом).

Цифровой сертификат обеспечивает связь между открытым ключом и объектом (компанией, доменным именем и т. д.), который был проверен (подписан) доверенной третьей стороной (центром сертификации)

Цифровой сертификат обеспечивает удобный способ распространения доверенных открытых ключей шифрования.

Получение цифрового сертификата

Вы получаете цифровой сертификат от признанного центра сертификации (ЦС). Точно так же, как вы получаете паспорт в паспортном столе.

На самом деле процедура очень похожа.

Вы заполняете соответствующие формы, добавляете свои открытые ключи (это просто числа) и отправляете их в центр сертификации. (это запрос сертификата)

Центр сертификации выполняет некоторые проверки (зависит от центра сертификации) и возвращает вам ключи, заключенные в сертификате.

Сертификат подписывается выдавшим его центром сертификации, что гарантирует ключи.

Теперь, когда кому-то нужны ваши открытые ключи, вы отправляете им сертификат, они проверяют подпись на сертификате, и если она подтверждается, они могут доверять вашим ключам.

Пример использования

Это соединение используется в Интернете для отправки электронной почты в Gmail и т. д., а также при онлайн-банкинге, совершении покупок и т. д.

Вот видео, в котором все вышеперечисленное раскрывается более подробно:

Типы цифровых сертификатов

Если вы пытаетесь приобрести сертификат для веб-сайта или использовать его для шифрования MQTT, вы столкнетесь с двумя основными типами:

  • Сертификаты с проверкой домена (DVC)
  • Сертификаты расширенной проверки (EVC)

Разница между этими двумя типами заключается в степени доверия к сертификату, который проходит более строгую проверку.

Уровень шифрования, который они обеспечивают, идентичен

Сертификат с проверкой домена (DV) — это цифровой сертификат X.509, обычно используемый для безопасности транспортного уровня (TLS), когда личность заявителя была подтверждена путем подтверждения определенного контроля над доменом DNS.-WikI

Процесс проверки обычно полностью автоматизирован, что делает их самой дешевой формой сертификата. Они идеально подходят для использования на таких веб-сайтах, как этот, который предоставляет контент и не используется для конфиденциальных данных.

Как правило, они дороже, чем сертификаты с проверкой домена, поскольку требуют ручной проверки.

Ограничения на использование сертификатов — подстановочные знаки и SAN

Как правило, сертификат действителен для использования с одним полным доменным именем (FQDN).

Однако, если вам необходимо защитить несколько субдоменов, а также имя основного домена, вы можете приобрести сертификат Wildcard.

Подстановочный сертификат распространяется на все поддомены под определенным доменным именем.

Чтобы охватить несколько разных доменных имен одним сертификатом, необходимо приобрести сертификат с SAN (альтернативное имя субъекта).

Как правило, они позволяют защитить 4 дополнительных доменных имени в дополнение к основному доменному имени. Например, вы можете использовать один и тот же сертификат для:

Вы также можете изменить действующее доменное имя, но для этого потребуется переиздание сертификата.

Зачем использовать коммерческие сертификаты?

Создать собственные SSL-сертификаты и ключи шифрования с помощью бесплатных программных инструментов очень просто.

Эти ключи и сертификаты так же безопасны, как и коммерческие, и в большинстве случаев могут считаться даже более безопасными.

Коммерческие сертификаты необходимы, когда вам нужна широкая поддержка вашего сертификата.

Это связано с тем, что поддержка основных коммерческих центров сертификации встроена в большинство веб-браузеров и операционных систем.

Если бы я установил свой собственный сертификат на этот сайт, когда вы его посетили, вы бы увидели сообщение, подобное приведенному ниже, о том, что сайт не является надежным.

Кодировки сертификатов и расширения файлов

Сертификаты могут быть закодированы как:

  • Двоичные файлы (.DER)
  • Файлы ASCII (base64) (.PEM)
  • .DER
  • .PEM (электронная почта с повышенной конфиденциальностью)
  • .CRT
  • .CERT

Примечание. Реальной связи между расширением файла и кодировкой нет. Это означает, что файл .crt может быть файлом в кодировке .der или файлом в кодировке .pem.

Вопрос. Как узнать, есть ли у вас закодированный файл .der или .pem?

Ответ. Вы можете использовать инструменты openssl, чтобы найти тип кодировки и конвертировать между кодировками. См. это руководство — сертификаты DER, CRT, CER и PEM.

Вы также можете открыть файл, и если это текст ASCII, то это сертификат в кодировке .PEM

Примеры сертификатов

Поскольку сертификаты в формате .pem представляют собой файлы ASCII, их можно прочитать с помощью простого текстового редактора.

Важно отметить, что они начинаются и заканчиваются строками Begin Certificate и End Certificate.

Сертификаты можно хранить в отдельном файле или вместе в одном файле, называемом пакетом.

Корневой пакет ЦС и хешированные сертификаты

Хотя корневые сертификаты существуют в виде отдельных файлов, их также можно объединить в пакет.

В системах Linux на базе Debian эти корневые сертификаты хранятся в папке /etc/ssl/certs вместе с файлом ca-certificates.crt.

Этот файл представляет собой набор всех корневых сертификатов в системе.

Он создается системой и может быть обновлен при добавлении новых сертификатов с помощью команды update-ca-certificates. Смотрите здесь

Файл ca-certifcates.crt выглядит так

Папка certs также содержит каждый отдельный сертификат или символическую ссылку на сертификат вместе с хешем.

Хеш-файлы создаются командой c_rehash и используются, когда указан каталог, а не файл. Например, инструмент mosquitto_pub можно запустить как:

Корневые сертификаты, промежуточные сертификаты, цепочки и пакеты сертификатов.

Центр сертификации может создавать подчиненные центры сертификации, отвечающие за выдачу сертификатов клиентам.

Чтобы клиент мог проверить подлинность сертификата, он должен иметь возможность проверять подписи всех ЦС в цепочке. Это означает, что клиенту необходим доступ к сертификатам всех ЦС в цепочке.

Возможно, у клиента уже установлен корневой сертификат, но, вероятно, нет сертификатов промежуточных ЦС.

Поэтому сертификаты часто предоставляются как часть пакета сертификатов.

Этот пакет будет состоять из всех сертификатов ЦС в цепочке в одном файле, который обычно называется CA-Bundle.crt.

Если ваши сертификаты отправляются по отдельности, вы можете создать свой собственный пакет, следуя инструкциям здесь.

Видео

  • Вот мое видео, в котором рассматриваются вышеизложенные вопросы.
  • Вот найденное мной видео Microsoft, объясняющее вышеизложенное.

Распространенные вопросы и ответы

В. Что такое надежный магазин?

A- Это список сертификатов ЦС, которым вы доверяете. Все веб-браузеры поставляются со списком доверенных ЦС.

В. Могу ли я добавить свой ЦС в доверенное хранилище браузера?

A- Да, в Windows, если щелкнуть сертификат правой кнопкой мыши, вы должны увидеть вариант установки

В. Что такое самоподписанный сертификат?

A- Самоподписанный сертификат — это сертификат, подписанный тем же лицом, которое проверяется сертификатом. Это похоже на то, как вы утверждаете свое собственное заявление на получение паспорта. см. вики

В. Что такое отпечаток сертификата?

A- Это хэш фактического сертификата, который можно использовать для проверки сертификата без необходимости установки сертификата ЦС.

Это очень полезно на небольших устройствах, у которых недостаточно памяти для хранения файлов CA.

Он также используется при ручной проверке сертификата.

Подробнее см. здесь

В. Что произойдет, если сертификат сервера будет украден?

A- Его можно отозвать. Существует несколько способов, с помощью которых клиент (браузер) может проверить, отозван ли сертификат, см. здесь

Ресурсы

Связанные руководства:

119 комментариев

Большое спасибо!
Может быть, вы или кто-нибудь может мне помочь?
Я написал приложение, написанное на C++, которое использовало mqtt в качестве клиента для публикации некоторых данных, принимаемых от аппаратных датчиков. Я использую библиотеку PAHO.
Текущая версия брокера использовала незащищенный mqtt (только защищенный паролем), но теперь клиент решает перейти на безопасность TLS. Единственное, что нужно брокеру, это сертификат (в приложении mqtt.fx он вызывает файл сертификата CA. И когда я заполняю это поле путем к правильному файлу CA, все работает как нужно)
Но я не могу понять, что эквивалентно «файлу сертификата SA» в MQTTClient_SSLOptions в библиотеке PAHO. Я пробовал все поля с типом char* или const char*, и это не работает.
Мой код: (в этом примере я только пытаюсь открыть и что-то сделать)

int main() conn_opts = MQTTClient_connectOptions_initializer;
ssl_opts = MQTTClient_SSLOptions_initializer;
pubmsg = MQTTClient_message_initializer;
conn_opts.MQTTVersion =MQTTVERSION_3_1_1;
// проверяем, какие данные нам нужны для SSL-соединения
// путь к ssl-сертификату

ssl_opts = MQTTClient_SSLOptions_initializer;
ssl_opts.trustStore = «путь_к_файлу_CA»;
ssl_opts.sslVersion = 3;
ssl_opts.ssl_error_cb = SSL_err_handler;
conn_opts.ssl = & ssl_opts;
ssl_opts.struct_version =3;
conn_opts.struct_version = 1;

На самом деле я не использую клиент c, но посмотрю и посмотрю, смогу ли я найти пример.
С уважением
Стив

Спасибо во всех случаях.

Хороший вариант для начала

Очень хорошо объяснил. Очень понятно и подход продуман!

когда именно используется закрытый ключ? Я полагал, что он находится на стороне сервера, и я предполагаю, что он используется только для согласования сеансового ключа?

Да, он находится на сервере и используется для подписи сертификатов и расшифровки данных. Импорт заключается в том, что он не отправляется по сети. Он используется для расшифровки сеансового ключа, который отправляется с использованием открытого ключа сертификата

Эта статья рассказывает о сертификатах, но не создает их для себя… забавно ^^

Сайт предоставляет бесплатную информацию и не собирает никаких конфиденциальных данных, поэтому SSL не требуется.
Кроме того, добавление SSL к существующему хорошо проиндексированному сайту, как известно, вызывает проблемы, и у меня достаточно времени, чтобы обойтись без хлопот.
Я рекомендую новым владельцам сайтов сразу переходить на SSL независимо от сайта, и однажды я это сделаю, но не торопясь.

Спасибо, отлично! полезное объяснение очень простым способом!

Отличный пост. Отличный контент с простыми примерами в реальном времени делает этот блог особенным. Большое спасибо. Благодарим вас за обмен знаниями.

Спасибо за отличную статью. У меня есть вопрос. Я создал свой собственный веб-сайт и установил сертификаты на сервер. Теперь мой сайт работает. Как передать сертификаты клиентам?

Используете ли вы клиентские сертификаты или просто стандартный SSL, как на веб-сайтах. Я предполагаю, что вы подключаете браузер к сайту. Если это так, браузер предложит повторно создать ненадежный ЦС и позволит вам добавить его в доверенное хранилище.

Привет, Стив, отличная статья!

Когда необходимо включить TLS между клиентскими и серверными приложениями, в отличие от взаимодействия через браузер, после того как все шаги TLS будут выполнены на стороне сервера, какие файлы/артефакты должны быть переданы сервером клиенту?

Извините, но я не знаю.
С уважением,
Стив

Отличная статья. Теперь я лучше понимаю то, чего всегда старался избегать!
Вопрос: Когда вы передаете открытый ключ и сообщение зашифровано с помощью этого ключа, единственный человек, который может расшифровать, — это человек с закрытым ключом. В таком случае, зачем нам нужен сертификат для проверки источника открытого ключа? Это просто еще один уровень защиты (например, на случай кражи закрытого ключа?)
Большое спасибо. Отметить

Поскольку открытый ключ общедоступен и находится в свободном доступе, вам нужен способ быть уверенным, что открытый ключ исходит от объекта, которым, по его утверждению, он является. сертификат подтверждает, что открытый ключ действительно принадлежит вашему банку (и т. д.). Имеет ли это смысл?
С уважением,
Стив

Мне нужно знать, в таких случаях требуется ли удалять старый сертификат после обновления обновленного сертификата. Есть ли вероятность того, что java может попытаться использовать старый сертификат, и соединение ssl может завершиться ошибкой. Какой алгоритм здесь использует Java. Будет ли он проверять все сертификаты из хранилища ключей или остановится после нахождения первого сертификата с таким же cn и остановится на этом, даже если срок действия сертификата истек.

Не знаю, как это делает Java, но я бы удалил или заархивировал старую версию, так как она больше недействительна.

Спасибо, наконец-то я понял, как это работает!

Спасибо за статью, Стив, самое понятное объяснение, которое я читал.

Спасибо за статью.

Спасибо за прекрасное объяснение! Очень полезно и понятно.

Лучшее использование самозаверяющих сертификатов – предоставить доступ к вашему домашнему веб-серверу Интернету и использовать их для двусторонней SSL-аутентификации, блокируя ваш веб-сайт от всех, у кого нет сертификата, подписанного вашим собственным сертификатом. Это работает следующим образом:

Вы создаете свой собственный сертификат Центра сертификации, который становится вашим верхним уровнем. Это эквивалент центра сертификации Verisign, который вы видите в хранилище сертификатов вашего браузера.

Во-вторых, вы создаете сертификат сервера для своего веб-сервера, который подписывается вашим личным сертификатом центра сертификации. Это эквивалентно сертификатам сервера Amazon, подписанным центром сертификации Verisign.

В-третьих, вы создаете личный сертификат и, в конечном итоге, хранилище ключей .p12 или .jks, которое имеет ваш собственный подписанный сертификат, аутентифицированный тем же сертификатом ЦС, который вы создали на первом этапе, и загружаете его в свой личный веб-браузер или смартфон. . Если вы посмотрите на цепочку доверия для своего личного сертификата, она покажет ваш самозаверяющий ЦС вверху, как и сертификат вашего браузера.

Наконец, включите двустороннюю аутентификацию на своем сервере. Таким образом, когда кто-то нажмет на него в первый раз и получит это предупреждающее сообщение, даже если он нажмет кнопку «Разрешить исключение», он запросит его личный сертификат клиента для сравнения с ЦС сервера.

Конечно, у вас его не будет, поэтому вы будете полностью отключены.Вам нужно будет создать отдельные личные сертификаты, подписанные вашим главным сертификатом ЦС, чтобы предоставить их друзьям, которым нужен доступ к вашему веб-серверу.

Если вы недавно установили Bitdefender total security 2018, платную или бесплатную версию и начинаете получать ошибку сертификации SSL в браузере Google Chrome или Mozilla, то вы находитесь в нужном месте, чтобы решить эту проблему.

В основном вы получите следующую ошибку…

Приложение не позволяет Chrome безопасно подключиться к этому сайту

«Bit Defender Antivirus» не был правильно установлен на вашем компьютере или в сети:

  • Попробуйте удалить или отключить «Bitdefender Antivirus»
  • Попробуйте подключиться к другой сети.

или

Ваше соединение не защищено

Автоматически отправлять некоторую системную информацию и содержимое страниц в Google, чтобы помочь обнаружить опасные приложения и сайты.

Отключить сканирование SSL Bitdefender

Всякий раз, когда вы получаете сообщения о том, что сертификаты безопасности не могут быть проверены/установлены, просто отключите сканирование SSL Bit Defender, выполнив указанные действия:

Bitdefender заблокировал приложение или Chrome для доступа в Интернет

Если Bitdefender блокирует доступ таких приложений, как Google Chrome, к интернет-соединению, вам необходимо разрешить или внести в белый список это конкретное приложение в Bitdefender. Вот шаги, чтобы сделать это…

Теперь: здесь я использую версию Bitdefender 2018, и в предыдущих версиях параметры могли находиться в другом месте.

Таким образом, вы разрешаете блокировать приложение в Bitdefender, а также отключаете параметр сканирования SSL-сертификата, чтобы решить проблему проверки бесплатных SSL-сертификатов Bitdefender или ошибки проверки.

Отключить сканирование сертификатов SSL в выпуске Bitdefender 2019

Недавно Bitdefender выпустил версию Bitdefender 2019, и те, кто использует версию 2018, также получат обновление этой новой версии. Тем не менее, интерфейс последней версии был немного изменен, чтобы придать новый внешний вид, а также место для отключения сканирования SSL. Если вы используете последнюю версию Bitdefender 2019 года и хотите отключить сканирование SSL, выполните следующие действия:

В этой статье описывается, как включить Secure Sockets Layer (SSL) для всех клиентов, взаимодействующих с вашим веб-сайтом в Microsoft Internet Information Services (IIS).

Исходная версия продукта: Internet Information Services
Исходный номер базы знаний: 298805

Обзор

Эта статья содержит следующие темы:

  • Как настроить и активировать сертификаты сервера, чтобы ваши клиенты могли быть уверены в том, что ваш веб-сайт действителен и что любая информация, которую они отправляют вам, остается частной и конфиденциальной.
  • Как использовать сторонние сертификаты для включения Secure Sockets Layer (SSL), а также общий обзор процесса, используемого для создания запроса на подпись сертификата (CSR), который используется для получения стороннего сертификата. сертификат.
  • Как включить подключение SSL для вашего веб-сайта.
  • Как применить SSL для всех подключений и установить требуемую длину шифрования между вашими клиентами и вашим веб-сайтом.

Вы можете использовать функции безопасности SSL вашего веб-сервера для двух типов аутентификации. Вы можете использовать сертификат сервера, чтобы пользователи могли аутентифицировать ваш веб-сайт перед передачей личной информации, например номера кредитной карты. Кроме того, вы можете использовать клиентские сертификаты для аутентификации пользователей, запрашивающих информацию на вашем веб-сайте.

В этой статье предполагается, что вы будете использовать сторонний центр сертификации (ЦС) для аутентификации вашего веб-сервера.

Чтобы включить проверку сертификата сервера SSL и обеспечить уровень безопасности, которого хотят ваши клиенты, вы должны получить сертификат от стороннего ЦС. Сертификаты, выданные вашей организации сторонним ЦС, обычно привязаны к веб-серверу, а точнее к веб-сайту, к которому вы привязываете SSL. Вы можете создать свой собственный сертификат на сервере IIS, но если вы это сделаете, ваши клиенты должны будут безоговорочно доверять вам как центру сертификации.

В этой статье предполагается следующее:

  • Вы установили IIS.
  • Вы создали и опубликовали веб-сайт, который хотите защитить с помощью SSL.

Получить сертификат

Чтобы начать процесс получения сертификата, необходимо создать CSR. Вы делаете это через консоль управления IIS; поэтому перед созданием CSR необходимо установить IIS. CSR — это, по сути, сертификат, который вы создаете на своем сервере, который проверяет информацию о вашем сервере, относящуюся к компьютеру, когда вы запрашиваете сертификат у стороннего центра сертификации. CSR — это просто зашифрованное текстовое сообщение, зашифрованное с помощью пары открытого и закрытого ключей.

Обычно в CSR, который вы создаете, включается следующая информация о вашем компьютере:

  • Организация
  • Организационное подразделение
  • Страна/регион
  • Штат/провинция
  • Город/населенный пункт
  • Общее имя

Создать CSR

Доступ к консоли управления IIS (MMC). Для этого щелкните правой кнопкой мыши Мой компьютер и выберите Управление. Откроется консоль управления компьютером. Разверните раздел Службы и приложения. Найдите IIS и разверните консоль IIS.

Выберите конкретный веб-сайт, на который вы хотите установить сертификат сервера. Щелкните сайт правой кнопкой мыши и выберите "Свойства".

Выберите вкладку Безопасность каталога. В разделе Безопасная связь выберите Сертификат сервера. Запустится мастер сертификатов веб-сервера. Выберите Далее.

Выберите «Создать новый сертификат» и нажмите «Далее».

Выберите Подготовить запрос сейчас, но отправить его позже и нажмите Далее.

В поле Имя введите имя, которое вы можете запомнить. По умолчанию это будет имя веб-сайта, для которого вы создаете CSR.

При создании CSR необходимо указать длину в битах. Битовая длина ключа шифрования определяет надежность зашифрованного сертификата, который вы отправляете в сторонний ЦС. Чем выше длина бита, тем сильнее шифрование. Большинство сторонних ЦС предпочитают не менее 1024 бит.

В разделе "Информация об организации" введите информацию о своей организации и организационном подразделении. Это должно быть точным, потому что вы предоставляете эти учетные данные стороннему центру сертификации и должны соблюдать их условия лицензирования сертификата. Нажмите «Далее», чтобы перейти к разделу «Общее имя вашего сайта».

Раздел «Общее имя вашего сайта» отвечает за привязку сертификата к вашему веб-сайту. Для SSL-сертификатов введите имя хост-компьютера вместе с доменным именем. Для серверов интрасети вы можете использовать NetBIOS-имя компьютера, на котором размещен сайт. Нажмите «Далее», чтобы получить доступ к географической информации.

Введите информацию о своей стране или регионе, штате или провинции, а также городе или населенном пункте. Полностью укажите свой штат или провинцию и город или населенный пункт. И не используйте сокращения. Выберите Далее.

Сохраните файл как файл .txt.

Подтвердите детали запроса. Нажмите «Далее», чтобы завершить работу, и выйдите из мастера сертификатов веб-сервера.

Запросить сертификат

Существуют различные способы подачи запроса. Свяжитесь с выбранным поставщиком сертификатов, чтобы узнать, какой метод использовать и какой уровень сертификата лучше всего подходит для ваших нужд. В зависимости от метода, выбранного для отправки вашего запроса в ЦС, вы можете отправить файл CSR из шага 10 в разделе «Создание CSR» или вам может потребоваться вставить содержимое этого файла в запрос. Этот файл будет зашифрован и будет содержать заголовок и нижний колонтитул для содержимого. При запросе сертификата необходимо включить как верхний, так и нижний колонтитулы. Ваш CSR должен выглядеть следующим образом:

Установить сертификат

После того как сторонний центр сертификации выполнит ваш запрос на сертификат сервера, вы получите его по электронной почте или загрузите с сайта. Сертификат должен быть установлен на веб-сайте, на котором вы хотите обеспечить безопасную связь.

Чтобы установить сертификат, выполните следующие действия:

  1. Загрузите или скопируйте сертификат, полученный от центра сертификации, на веб-сервер.
  2. Откройте MMC IIS, как описано в разделе «Создание CSR».
  3. Откройте диалоговое окно свойств для веб-сайта, на котором вы устанавливаете сертификат.
  4. Перейдите на вкладку Безопасность каталога, а затем выберите Сертификат сервера. Запустится мастер сертификатов веб-сервера. Выберите "Далее".
  5. Выберите "Обработать ожидающий запрос" и установите сертификат, а затем нажмите "Далее".
  6. Перейдите к местоположению сертификата, сохраненного на шаге 1. Дважды нажмите "Далее", а затем выберите "Готово".

Использовать SSL-соединения

Теперь, когда сертификат сервера установлен, вы можете обеспечить связь по защищенному каналу SSL с клиентами веб-сервера. Во-первых, вам необходимо включить порт 443 для безопасного обмена данными с веб-сайтом. Для этого выполните следующие действия:

  1. В консоли «Управление компьютером» щелкните правой кнопкой мыши веб-сайт, на котором вы хотите применить SSL, и выберите «Свойства».
  2. Выберите вкладку «Веб-сайт». Убедитесь, что в разделе "Идентификация веб-сайта" в поле "Порт SSL" указано числовое значение 443.
  3. Выберите «Дополнительно». Вы должны увидеть два поля. IP-адрес и порт веб-сайта уже должны быть указаны в поле Несколько идентификаторов для этого веб-сайта. В поле Несколько удостоверений SSL для этого веб-сайта выберите Добавить, если порт 443 еще не указан. Выберите IP-адрес сервера и введите числовое значение 443 в поле Порт SSL. Нажмите "ОК".

Теперь, когда порт 443 включен, вы можете применять SSL-соединения. Для этого выполните следующие действия:

Выберите вкладку Безопасность каталога. В разделе «Безопасная связь» теперь доступно «Редактировать». Выберите Изменить.

Выберите «Требовать безопасный канал (SSL)».

Например, вы можете загрузить файл, содержащий вирус, во время сеанса электронной коммерции. Или вы можете получить фишинговое письмо, содержащее, казалось бы, безобидный файл-загрузчик, который при запуске создает зашифрованный сеанс связи с C&C-сервером и загружает вредоносное ПО на ваш компьютер. Поскольку сеансы этих атак зашифрованы, они могут обойти меры безопасности вашей сети.

Полная проверка SSL

Чтобы обеспечить проверку всего зашифрованного содержимого, необходимо использовать полную проверку SSL (также известную как глубокая проверка). При использовании полной проверки SSL FortiGate олицетворяет получателя исходного сеанса SSL, затем расшифровывает и проверяет содержимое. Затем FortiGate повторно шифрует содержимое, создает новый сеанс SSL между FortiGate и получателем, выдавая себя за отправителя, и отправляет содержимое отправителю.

Когда FortiGate повторно шифрует содержимое, он использует сертификат, хранящийся на FortiGate. Клиент должен доверять этому сертификату, чтобы избежать ошибок сертификата. Наличие или отсутствие такого доверия зависит от клиента, которым может быть ОС компьютера, браузер или другое приложение, которое, скорее всего, будет поддерживать собственное хранилище сертификатов.

Для полной проверки SSL существует два метода развертывания:

1. Несколько клиентов, подключающихся к нескольким серверам:

  • Использует сертификат ЦС (который можно загрузить с помощью меню "Сертификаты")
  • Обычно применяется к исходящим политикам, адресаты которых неизвестны (например, обычный веб-трафик).
  • Белые списки адресов и веб-категорий можно настроить так, чтобы не проверять SSL.

2. Защита SSL-сервера

  • Использует сертификат сервера (который можно загрузить с помощью меню "Сертификаты") для защиты одного сервера.
  • Обычно используется в политиках входящего трафика для защиты серверов, доступных извне через виртуальные IP-адреса.
  • Поскольку это обычно развертывается «снаружи внутри» (клиенты в Интернете обращаются к серверу(ам) с внутренней стороны FortiGate), сертификаты сервера, использующие общедоступное полное доменное имя сервера, часто приобретаются в коммерческих центрах сертификации и загружены в FortiGate. Это позволяет избежать создания клиентскими приложениями ошибок SSL-сертификата из-за несоответствия сертификатов.

Подробнее см. в интерактивной справке FortiOS. Кроме того, ознакомьтесь с техническими примечаниями в базе знаний Fortinet:

Проверка сертификата SSL

FortiGate также поддерживает второй тип проверки SSL, называемый проверкой SSL-сертификата. При использовании проверки сертификатов FortiGate проверяет только заголовки до уровня SSL/TLS.

Единственная функция безопасности, которую можно применить в режиме проверки SSL-сертификатов, — это веб-фильтрация. Однако, поскольку проверяется только заголовок пакета, этот метод не приводит к ошибкам сертификата и может быть полезной альтернативой полной проверке SSL при использовании веб-фильтрации.

Для получения дополнительной информации см.:

Устранение неполадок

Самая распространенная проблема с проверкой SSL — это получение пользователями ошибок SSL, если сертификат не является доверенным. Это связано с тем, что по умолчанию FortiGate использует сертификат, которому не доверяет клиент. Это можно исправить несколькими способами, в зависимости от того, используете ли вы сертификат FortiGate по умолчанию, самозаверяющий сертификат или сертификат, подписанный ЦС.

Рекомендации

Поскольку весь трафик необходимо расшифровывать, проверять и повторно шифровать, использование проверки SSL может снизить общую производительность вашего FortiGate. Чтобы не использовать слишком много ресурсов для проверки SSL, сделайте следующее:

Что произойдет, когда срок действия вашего сертификата SSL истечет? Это.

Один из наиболее частых вопросов, которые нам задают, — это вопрос «Что произойдет, когда срок действия вашего сертификата SSL истечет?» или "что произойдет, если вы не обновите свои SSL-сертификаты вовремя?"

Ответ — смерть. Быстрая позорная смерть. Вы никогда не задумывались, что случилось с Дживсом? Теперь ты знаешь. В свидетельстве о смерти его причина смерти просто гласит: «Срок действия свидетельства истек».

Это был черный день для Интернета…

Хорошо, может быть, это немного преувеличено (и явно не соответствует действительности — все знают, что это была мокрая работа Google).Но истечение срока действия сертификата может иметь серьезные последствия.

Итак, сегодня мы поговорим о том, что происходит, когда срок действия вашего SSL-сертификата истекает, мы отбросим несколько печально известных примеров истечения срока действия сертификата и даже поговорим о том, как избежать случайного истечения срока действия ваших SSL-сертификатов в первое место.

Давайте обсудим это.

Что произойдет, когда срок действия вашего сертификата SSL истечет?

Однако SSL-сертификаты не действуют вечно. Они истекают. Существует отраслевой форум, Центр сертификации/браузерный форум, который де-факто служит регулирующим органом для отрасли SSL/TLS. Форум CAB устанавливает базовые требования, которым должны следовать центры сертификации для выдачи доверенных SSL-сертификатов. Эти требования диктуют, что срок действия SSL-сертификатов не должен превышать 27 месяцев (два года + вы можете продлить срок до трех месяцев при продлении срока действия предыдущего сертификата).

Это означает, что каждый веб-сайт должен обновлять или заменять свой SSL-сертификат не реже одного раза в два года. Итак, что происходит, когда срок действия вашего SSL-сертификата истекает? Это делает ваш взгляд почти недоступным.

Когда браузер пользователя заходит на ваш веб-сайт, он проверяет действительность сертификата SSL в течение миллисекунд (это часть рукопожатия SSL). Если срок действия сертификата истек, выдается следующее предупреждение:

Мне не нужно говорить вам, что это сообщение, по сути, является смертным приговором для трафика вашего сайта, продаж — любых показателей или ключевых показателей эффективности, которые вы цените. Хотя большинство браузеров предлагают возможность щелкнуть предупреждение, почти никто этого не делает. Средний интернет-пользователь может ничего не знать о кибербезопасности, но он знает две вещи: компьютеры дороги и вредоносные программы портят компьютеры. Поэтому, если их браузер сообщает им, что веб-сайт небезопасен или, в данном случае, что их соединение небезопасно, они, вероятно, прислушаются.

Срок действия сертификата в цифрах

Почему срок действия сертификатов SSL истекает?

Это тема, которую мы довольно много обсуждали в прошлом, но вот краткое изложение. Как мы упоминали ранее, SSL-сертификаты помогают упростить две вещи: шифрование и аутентификацию. Последнее является основной причиной истечения срока действия сертификата.

Все SSL-сертификаты аутентифицируют что-либо, даже сертификаты проверки домена аутентифицируют сервер. Как и в случае любой другой формы аутентификации, вам иногда нужно повторно проверять информацию, которую вы используете, чтобы убедиться, что она верна.

Это особенно верно в отношении Интернета. Все постоянно меняется. Сайты переходят из рук в руки. Компании покупаются и продаются. И SSL/TLS основан на модели доверия, которая может быть подорвана этим. Поэтому важно, чтобы центры сертификации, выдающие доверенные сертификаты, гарантировали, что информация, которую они используют для аутентификации серверов и организаций, является максимально актуальной и точной.

Давайте рассмотрим практический пример. Circuit City был розничным продавцом электроники и бытовой техники, который прекратил свою деятельность около десяти лет назад. Теперь представьте на мгновение, что срок действия SSL-сертификатов не истек. Все активы Circuit City были проданы или выброшены за борт, что, если кто-то захватит сертификат и домен, для которого он был выпущен. Теперь они могут делать с этим доменом все, что захотят (пока сертификат не будет отозван, но это совершенно отдельная каша), и все браузеры увидят этот сайт как законную статью. Кого-то, кто не знал, что компания больше не существует, можно было легко обмануть. В конце концов, сертификат является законным.

Этого не может быть. Во всяком случае, ожидайте, что срок службы сертификатов сократится. И хотите верьте, хотите нет — мы часто слышим, как критики утверждают, что истечение срока действия сертификата — это рэкет для центров сертификации — центры сертификации не являются теми, кто сокращает срок действия. Браузеры.

В какой-то момент SSL-сертификаты могли выдаваться на срок до пяти лет. Потом его сократили до трех. Затем в прошлом году он сократился до двух, что было компромиссом, поскольку первоначальное предложение Google было рассчитано на один год. В будущем срок действия сертификата может сократиться до 3-6 месяцев. Let’s Encrypt выдает трехмесячные сертификаты прямо сейчас.

По теме: Защитите свой домен и поддомены с помощью подстановочного сертификата RapidSSL.

Однако проверка подлинности — не единственная причина истечения срока действия сертификата. Более короткие сроки действия сертификатов также облегчают для отрасли более быстрое внедрение изменений. Например, несколько лет назад индустрия SSL/TLS отказалась от использования SHA-1 в качестве алгоритма хеширования. Как известно любому, кто когда-либо заказывал SSL-сертификат, вы выбираете алгоритм хеширования во время генерации.При трехлетнем сроке действия в некоторых случаях вам может потребоваться подождать до 39 месяцев после истечения крайнего срока, прежде чем сертификат истечет, и SHA-1 будет объявлен устаревшим на этом веб-сайте.

Короткие сроки действия исправляют это. Если бы мы постепенно отказались от SHA-2 в пользу SHA-3 (не волнуйтесь, это не произойдет в ближайшее время), вы могли бы установить крайнюю дату для выдачи сертификатов SHA-2 и в течение 27 (или 15, если он сокращен до одного год) месяцев, SHA-2 будет полностью устаревшим.

Срок действия SSL-сертификата высокого профиля

Если вы случайно забыли вовремя продлить сертификат и допустили истечение срока действия вашего SSL-сертификата, вы можете найти некоторое утешение, зная, что вы не одиноки. Ниже мы собираемся вести текущий список громких сроков действия SSL:

LinkedIn допускает истечение срока действия одного из своих SSL/TLS-сертификатов… снова!

Второй раз за два года в LinkedIn произошли сбои в работе в США и Великобритании из-за истечения срока действия одного из его SSL-сертификатов. На этот раз истечение срока действия затронуло средство сокращения ссылок lnkd.in, которое сделало сайт недоступным для всех, кто щелкнул одну из укороченных ссылок (обычно такие ссылки можно найти в социальных сетях). Сокращатели ссылок в основном действуют как прокси, укороченная ссылка соединяется с сервером сокращения ссылок, проверяется, а затем передается по назначению. И вот в чем дело: это коснулось не только LinkedIn, у всех, кто делится контентом через сайт, была сокращена ссылка. Вот пример одной из наших записей с сокращенным URL-адресом.

Это прекрасный пример того, как просроченный сертификат наносит вред не только вашей организации, но и вашим клиентам и партнерам.

Закрытие правительства США приводит к истечению срока действия десятков SSL-сертификатов

В завершение 2018 года и начало 2019 года две политические партии, правящие Соединенными Штатами, решили сыграть в игру "отключение цыплят", которая привела к истечению срока действия более 130 государственных SSL-сертификатов, что сделало десятки сайтов полностью недоступными. В соответствии с директивой Министерства внутренней безопасности от 2015 года все правительственные веб-сайты должны быть в списке предварительной загрузки HSTS. HSTS — это заголовок безопасности, который заставляет браузеры устанавливать безопасные соединения. Это отличная идея, единственный недостаток в том, что если что-то случится с вашим SSL/TLS-сертификатом, ваш сайт сломается. И под перерывами я подразумеваю, что он становится полностью недостижимым. Это проблема, когда это происходит с государственными организациями, такими как Министерство юстиции, Апелляционный суд США или НАСА.

Ericsson допускает истечение срока действия сертификата, 32 миллиона человек лишаются сотовой связи

В декабре 2018 года миллионы людей в Великобритании остались без покрытия сотовой связи после истечения срока действия цифрового сертификата, связанного с сетью Ericsson. Ericsson, шведская компания сотовой связи, производит огромное количество серверного оборудования для сотовых сетей по всему миру. Из-за просроченного цифрового сертификата в версии управляющего программного обеспечения Ericsson, которое широко используется европейскими телекоммуникационными компаниями, миллионы пользователей сотовой связи столкнулись с простоями. Сначала сбои затронули программное обеспечение, используемое O2 и ее материнской компанией Telefonica, но в конечном итоге сбои проявились ниже по течению. , тоже.

Equifax пропускает утечку в течение 76 дней из-за просроченного сертификата

Компания Equifax обнаружила бы атаку 2017 года, в результате которой была скомпрометирована личная информация миллионов людей, если бы не цифровой сертификат с истекшим сроком действия. В течение десяти месяцев после истечения срока действия сертификата Equifax не мог проверять трафик, проходящий через его собственную сеть. Это, в свою очередь, привело к тому, что он пропустил громкое нарушение в течение 76 дней, пока сертификат не был окончательно заменен и проверка не возобновилась.

Cisco допустила истечение срока действия одного из своих SSL-сертификатов

В первой половине 2018 года у Cisco возникла проблема, из-за которой истечение срока действия обычного SSL-сертификата было заменено на истечение срока действия корневого сертификата Cisco. Как мы обсуждали несколько дней назад, корневые сертификаты являются неотъемлемой частью модели доверия SSL/TLS. Корневые сертификаты, находящиеся на вершине пресловутого дерева, используются для подписи и выпуска промежуточных и конечных пользовательских SSL-сертификатов. В этом случае корень был подключен к одной из сетей VPN Cisco, а это означает, что каждый сертификат, выданный конечным пользователям, также потенциально мог стать недействительным. К счастью, этого не произошло: пользователям просто запретили создавать новые конечные точки.

Проблема устранена в версии 1.6.3 APEC-EM.

Pokemon Go допускает истечение срока действия SSL-сертификата

Кажется, Niantic немного возрождается с Pokemon Go, но еще в январе 2018 года игра столкнулась с серьезными ошибками и множеством других проблем, одной из которых было истечение срока действия одного из SSL-сертификатов. . Отключение было коротким, всего около получаса, но в то время это было больше похоже на Niantic.

К счастью, в последнее время дела у компании идут намного лучше.

Консервативная партия Великобритании допустила истечение срока действия SSL-сертификата

Тори, как их называют в Великобритании, не имеют хорошей репутации, когда речь идет о шифровании. Бывший министр внутренних дел Эмбер Радд и будущая экс-премьер-министр Тереза ​​Мэй публично критиковали шифрование, несмотря на то, что явно не очень в этом разбирались. По иронии судьбы, 8 января 2018 года веб-сайт тори перестал работать из-за истечения срока действия его SSL-сертификата.

Или, может быть, вы могли бы сказать, что это Brexpired.

LinkedIn допускает истечение срока действия SSL-сертификата

В начале декабря 2017 года LinkedIn допустила истечение срока действия одного из своих SSL-сертификатов. Он выбил сайты LinkedIn в США, Великобритании и Канаде. Как сказал тогда вице-президент Venafi Кевин Бочек:

«Ошибка LinkedIn демонстрирует, почему так важно контролировать сертификаты. В то время как LinkedIn будет иметь тысячи сертификатов, которые нужно отслеживать, сбои, подобные вчерашнему, показывают, что достаточно одного истечения срока действия, чтобы вызвать проблемы. Чтобы сохранить контроль, организациям следует автоматизировать обнаружение, управление и замену каждого отдельного сертификата в своей сети».

LinkedIn быстро устранила проблему с сертификатом DigiCert Organization Validated SSL.

Time Warner допускает истечение срока действия SSL-сертификата почтового сервера

В начале 2017 года компания Time Warner усугубила тупоумную оплошность, из-за которой истек срок действия SSL-сертификата почтового сервера, предложив своим клиентам столь же тупоумный совет по исправлению ситуации:

«…зайдя в настройки электронной почты и отключив SSL, вы остановите всплывающее сообщение и снова включите получение веб-почты».

Это ужасно на многих уровнях. Начнем с того, что это ужасный совет. Никогда не отключайте SSL. Всегда. Во-вторых, компания, у которой истекает срок действия SSL-сертификата, обязана заменить его в кратчайшие сроки. Клиенты не должны изменять свои настройки, чтобы компенсировать небрежность этой компании. В-третьих, кто, черт возьми, до сих пор использует Time Warner в качестве службы электронной почты?

Как избежать истечения срока действия сертификата SSL

Корпоративные предприятия сталкиваются с другим набором проблем, когда дело доходит до управления сертификатами. В то время как у малого и среднего бизнеса (SMB) может быть только один или несколько сертификатов, корпоративные компании имеют разветвленные сети, множество подключенных устройств и в целом гораздо больше возможностей для покрытия. На уровне предприятия истечение срока действия SSL-сертификата обычно является результатом недосмотра, а не некомпетентности.

Лучший способ избежать этой проблемы на любом уровне — от предприятия до самого маленького семейного предприятия — это автоматизация. Это может показаться немного абстрактным, но автоматизация никогда не была проще, поскольку протокол ACME был опубликован в качестве стандарта IETF. Мы рассмотрели это несколько дней назад, правильная конфигурация протокола ACME позволяет вам установить его и забыть о нем.

Протокол ACME работает путем установки клиента на ваш сервер, который будет действовать как агент для веб-сайтов, размещенных на нем. После процесса, когда агент доказывает, что он уполномочен действовать от имени назначенных веб-сайтов, его можно настроить для обращения к выбранному вами центру сертификации через регулярные промежутки времени для замены и обновления сертификатов SSL. Изначально это поддерживал только Let’s Encrypt. Но с каждым днем ​​все больше и больше ЦС добавляют свою собственную поддержку, и ведущие игроки, такие как Sectigo и DigiCert, лидируют.

ACME — не единственный выбор для автоматизации, другие платформы управления сертификатами, такие как Venafi, также могут быть настроены для автоматизации всех этапов жизненного цикла сертификата, включая очень важные обновления.

У нас есть более чем десятилетний опыт, помогающий организациям любого размера решать эти проблемы. Вот еще несколько практических советов, как избежать истечения срока действия сертификата, если вы не используете автоматизацию:

  • От какой бы службы CA или SSL вы ни получили свои SSL-сертификаты, они будут отправлять вам уведомления об истечении срока действия с заданными интервалами, начиная с 90 дней. Убедитесь, что вы настроили эти напоминания для отправки списку рассылки, а не только одному человеку. Контактное лицо, которое вы использовали при получении сертификата, может отсутствовать к моменту истечения срока его действия.Возможно, они ушли, получили повышение или просто выпили слишком много на рождественской вечеринке в офисе и были уволены — в любом случае вам нужно убедиться, что уведомления доходят до нужных людей.
  • Определите надлежащие каналы для передачи напоминаний по мере приближения даты истечения срока действия. Например, через 90 дней вы можете просто захотеть, чтобы уведомление было отправлено в ваш список рассылки. Через 60 дней отправьте его в список дистрибутивов и системному администратору. Через 30 дней вы отправляете его как списку, так и системному администратору, и теперь ваш ИТ-менеджер тоже подключается. При необходимости продолжайте обращаться к ИТ-директору или директору по информационной безопасности.
  • Найдите хорошую платформу управления сертификатами. Одной из самых больших проблем, стоящих перед корпоративным бизнесом, является прозрачность. Вы не можете заменить сертификаты с истекающим сроком действия, если вы их не видите. Мы стараемся оставаться независимыми от поставщиков, но у DigiCert, Sectigo и Venafi есть отличные платформы, которые могут помочь предприятиям просматривать цифровые сертификаты и управлять ими во всей своей инфраструктуре. Кроме того, не забывайте регулярно входить в систему, чтобы быть в курсе предстоящих продлений.
  • Решите, с какими CA вы хотите работать, а затем настройте записи CAA, чтобы ограничить круг лиц, которые могут выдавать сертификаты для ваших доменов. Это поможет исключить возможность выпуска новых мошеннических сертификатов. Чем больше вы сможете консолидировать PKI на единой платформе, тем лучше для вас будет.
  • Кстати, о мошеннических сертификатах: найдите хороший инструмент сканирования, а затем регулярно используйте его для поиска и отслеживания мошеннических сертификатов, проверяя различные журналы CT.

Итак, вот что происходит, когда срок действия вашего SSL-сертификата истекает

Каждый может забыть обновить или заменить сертификат SSL с истекающим сроком действия. Но есть много инструментов, которые помогут свести риск к минимуму. Ключевым моментом, как мы уже говорили, является либо автоматизация, либо, по крайней мере, прозрачность и хорошие каналы связи, чтобы вы могли опередить приближающиеся истечения срока действия.

К сожалению, эта проблема никуда не денется — даже с развитием автоматизации — огромное количество цифровых сертификатов, выдаваемых новым веб-сайтам, устройствам IoT и конечным точкам, означает, что где-то всегда будет срок действия сертификата.

Читайте также: