Распространенные ошибки при выпуске и активации сертификатов SSL

Обычно ssl-сертификат для сайта может заказать и установить даже новичок. Но существует несколько типичных ошибок, затрудняющих процесс.

Обычно они связаны с:

• забывчивостью, невнимательностью при выпуске или установке;

• потерей данных.

Общая рекомендация – проверять себя на каждом этапе, чтобы не пришлось начинать все с начала.

Как правило, провайдеры хостинга или продавцы сертификатов, например, SSLcertificate.ru, предоставляют пользователям подробное руководство по выпуску и активации сертификатов. Если внимательно пользоваться им, то ошибок можно избежать.

Игнорирование инструкции

Если вы делаете это впервые или очень редко, никогда не пренебрегайте чтением инструкции по выпуску или базы знаний своего провайдера. Это – самая главная ошибка, которая влечет за собой остальные.

Ошибка при генерации CSR-запроса

Важно заполнять все поля внимательно, проверить себя несколько раз. Как правило, в базе знаний провайдера есть все необходимое, чтобы создать запрос самостоятельно.

Если на этой стадии вы сделали что-то неправильно, то либо сертификат вообще не создается, либо придется перевыпустить его. Самые распространенные проблемы с CSR:

• при заполнении вы оставили пустое поле;

• использованы недопустимые символы [! @ # $% ^ () ~? > <& / \,. «‘];

• ошибка в коде страны. Посмотреть правильные буквенные коды можно в Википедии.

Здесь лучше потратить чуть больше времени, но быть уверенным в результате.

Проблемы при проверке

Для проверки факта владения доменом при выдаче сертификата DV требуется электронная почта, связанная с доменом.

Есть и другие способы проверки, пользуясь которыми, тоже можно допустить ошибку.

Например, хеш-валидация или создание проверочного файла. Этот файл – простой .txt, который нужно разместить в корне сайта. Он должен называться http(s)://vash-sait.com/<MD5 хеш-код, полученный при создании CSR-запроса, и записанный в верхнем регистре>.txt. Внутри – <Значение хеша> сайт сертификационного центра. Тут можно ошибиться сразу в нескольких местах:

• неправильно указать, по какому протоколу (http или https) доступен ваш сайт, соответственно, допустить неточность и в названии файла;

• неправильно указать адрес своего сайта.

Кроме того, если сертификат мультидоменный, файлы следует поместить в корень каждого сайта, который вы будете защищать.

Проверочная DNS-запись тоже требует значения хеш-кода, который получают при создании CSR-запроса. В DNS CNAME домена вносится следующее: _<значение of MD5 хеш-кода CSR>.<ваш домен>. CNAME <value of SHA-256 hash of CSR>.[<uniqueValue>.]адрес сайта сертификационного центра. Здесь ошибка может быть допущена в самой записи. Важно ставить точку после каждого домена верхнего уровня. Если у вас мультидоменный сертификат – аналогичные действия нужно повторить для каждого сайта.

Если речь идет о сертификатах OV/EV, то вероятен звонок в офис. Кроме того, данные о вашей компании должны быть указаны правильно, полно и поддаваться проверке через открытые каталоги, списки адресов и т.д. Если где-то допустили ошибку, или вы не готовы ответить на звонок – в выдаче сертификата откажут.

Потеря ключа

Протокол шифрования SSL предполагает создание двух ключей – открытого и приватного. Оба они используются в обмене информацией между браузером пользователя и сайтом. Информацию, зашифрованную открытым ключом, можно расшифровать только с помощью закрытого – и наоборот.

Когда вы выпускаете SSL-сертификат, то получаете файл приватного ключа (Private key). Его нужно надежно хранить: случайное распространение нарушает защиту вашего сайта. Если же файл при выпуске потерялся, то установить сертификат просто нельзя. На этот случай крупные сертификационные центры предусматривают опцию бесплатного перевыпуска, но если с самого начала соблюдать все инструкции и внимательно сохранять файл, то вы просто сбережете время.

Отсутствие проверки после установки сертификата

После активации сертификата нужно зайти на свой сайт и убедиться, что все работает корректно. Если сайт выглядит нормально, а браузер считает его надежным, все в порядке.

Чтобы избежать ошибок, нужно придерживаться инструкции по переходу на протокол https и не пропускать ни одного шага.

Лучше полностью протестировать сайт после перехода. Посмотрите, все ли работает корректно – темы, плагины, отдельные страницы.

Пропуск даты продления

Срок действия SSL-сертификатов обычно ограничен. По истечении 1-3 лет их нужно продлевать. Некоторые провайдеры позволяют сделать это автоматически, другие присылают уведомление незадолго до даты, когда срок действия закончится.

Важно заранее узнать, как происходит продление конкретно вашего сертификата. Если сертификат истек, а вы ничего не предприняли, сайт больше не защищен. Посетители сайта получат уведомления об этом, и ваша репутация может пострадать.

Выпуск и установка SSL-сертификатов – процесс, с которым вполне реально справиться самостоятельно. Для людей без специальных знаний продавцы сертификатов обычно создают базу информации, в которой можно найти ответы на все вопросы. Нужна только внимательность.

При любых сомнениях лучше обратиться в поддержку. Это сэкономит время и нервы. Гораздо проще предупредить ошибку с самого начала, чем искать ее потом, когда пройдет время.