Как настроить цепочку сертификатов SSL и почему это необходимо

Установка SSL-сертификата является важным этапом при переходе на протокол безопасного соединения HTTPS — он обеспечивает сохранность персональных данных. Такой сайт вызывает больше доверия у пользователей. Также защищенность веб-ресурса может влиять на его позиции в поисковой выдаче.

Как правило для шифрования информации, пересылаемой между браузером посетителя и сервером, достаточно одного сертификата. Однако некоторые ресурсы требуют большей надежности и многоуровневой защиты. Например, банковский ресурс предполагает проведение крупных финансовых операций. В этом случае необходим SSL-сертификат, который содержит не только сертификат для домена, но цепочку сертификатов (CA Bundle).

Цепочка сертификатов SSL включает в себя сертификаты поручителей, подтверждающие валидность документа в целом.

Структура CA Bundle имеет такой вид:

Каждый сертификат цепочки имеет электронную цифровую подпись, связывающую его с сертификатом на ступень ниже. Root CA является верхним звеном иерархии сертификатов. Уточнение CA (Certificate Authority) означает, что сертификаты выдает удостоверяющий центр, который подтверждает этим документом подлинность ключей шифрования.

Структура звеньев цепочки зависит от типа сертификата. Данную последовательность как правило можно получить вместе с доменным сертификатом на электронную почту или скачать на сайте SSL-провайдера, выпустившего сертификат. В этом случае поручителем выступает центр сертификации. Следующий этап — настроить цепочку SSL. Это можно сделать двумя способами.

Для этого необходимо поместить цепочку сертификатов в виде списка в текстовый документ. Как выглядит CA Bundle можно увидеть в примере ниже — сертификаты с расширением .crt размещены в заданной последовательности:

• CARoot.crt
  
• Intermediate1.crt
  
• Intermediate2.crt
  
• Intermediate3.crt
  
• domain.crt
  
  

Файл CARoot.crt здесь — корневой сертификат, связка файлов Intermediate выполняет функцию посредников, domain.crt является сертификатом домена. Поручителей в цепочке может быть много. Основная задача — следить, чтобы все звенья цепочки были связаны друг с другом цифровой подписью.

Текстовый файл с цепочкой сертификатов следует сохранить как domain.ca-boundle.

В данной строке необходимо перечислить сертификаты посредников по порядку и завершить последовательность указанием имени файла domain.ca-bundle.

Иногда можно получить сигнал о том, что цепочка сертификатов нарушена или является неполной. Это, как правило, говорит о проблеме с промежуточными сертификатами — их отсутствии в цепочке, некорректной последовательности, истечении срока действия одного из сертификатов.

Проверить правильность настройки цепочки можно с помощью онлайн-сервисов. Например, SSL Shopper или SSL Checker.

Чтобы исправить ошибку, нужно экспортировать каждый промежуточный сертификат в цепочку и связать Intermediate/chain с корневым сертификатом. Корректно настроенная цепочка сертификатов будет сигналом для браузера, что сайту можно доверять.

Еще одна распространенная ошибка — невозможность построить цепочку сертификатов. Это сигнализирует о внутренней ошибке и часто связано с отсутствием корректного корневого сертификата. Решением такой проблемы будет установка корневого сертификата Удостоверяющего Центра.

Чтобы быстро узнать какие проблемы есть у твоего сайта и получить рекомендации по их устранению, нажимай на Проверить свой сайт.

Цепочка сертификатов будет дополнительным способом подтвердить надежность ресурса. С помощью структуры файлов, связанных между собой и выполняющих роль поручителей, можно подтвердить валидность SSL-сертификата.

Настройка цепочки и проверка корректности ее работы расширит возможности использования веб-ресурса в различных приложениях. Быстро обнаружить ошибки в цепочки помогут специальные онлайн-сервисы.