На связи в WhatsApp
8 (800) 707-26-48
Бесплатный звонок из регионов

OV SSL сертификат - пошаговая инструкция получения

Главная / Статьи / OV SSL сертификат - пошаговая инструкция получения

Сертификат с проверкой организации (OV – Organization Validation) потребуется в случае, если по каким-то причинам не подходят ни бесплатные сертификаты от Let’s Encrypt, ни платные с проверкой домена (DV – Domain Validated), ни тем более самоподписанные. Как следует из названия, их выпуск возможен только для организаций всех форм собственности и недоступен физическим лицам.

Выпустить OV SSL сертификат можно сроком до 5 лет (период кратен году). Причём чем дольше срок, тем большую скидку предложит удостоверяющий центр. Сертификаты сроком действия более года необходимо ежегодно бесплатно перевыпускать. Это техническая мера необходимая для поддержания соответствия сертификата отраслевым стандартам безопасности.

OV SSL сертификаты: ключевые особенности

Как получить?

Для получения OV SSL сертификата юридическому лицу потребуется:

  1. Указать и подтвердить домен, который будет удостоверять сертификат. Это требование едино для SSL-сертификатов всех типов: DV, OV или EV. Подтверждать домен не нужно лишь при покупке Code Signing сертификатов. Подтверждение домена возможно двумя способами — по электронной почте и внесением записей в DNS доменной зоны. При выборе Email УЦ (удостоверяющий центр, он же CA – Certificate Authority) отправляет письмо с кодом на один из служебных адресов домена:

    hostmaster@domain.ru
    postmaster@domain.ru
    admin@domain.ru

    Очевидно, что доступ к таким адресам корпоративной почты может иметь только владелец домена.

    Другой доступный способ подтверждения связан с добавлением TXT или CNAME-записи в доменную зону заказчика сертификата. TXT-запись содержит уникальный код, а CNAME-запись указывает на поддомен удостоверяющего центра. И то и другое позволяет УЦ убедиться, что заявитель владеет доменом.

    Записи вносятся в доменную зону в личном кабинете регистратора домена или в панели управления хостинг-провайдера, в зависимости от того, где поддерживается домен. Например, если домен делегирован на популярный CDN-сервис Cloudflare, добавить нужную запись следует там.

    После добавления записи изменения будут доступны для проверки в срок от нескольких минут до суток — зависит от настроек конкретного DNS-сервера и значения TTL (Time To Live) записи.

  2. Предоставить данные о компании: наименование, адрес, номер телефона. Сведения должны совпадать с размещёнными в ЕГРЮЛ и бизнес-справочниках — удостоверяющий центр проверит соответствие.

    Ускорит и облегчит подтверждение организации наличие DUNS номера. DUNS (англ. Data Universal Numbering System – система универсальной нумерации данных) это международный реестр юридических лиц, который с 1963 года ведётся американской компанией Dun & Bradstreet (D&B). Если компания участвовала во внешнеэкономической деятельности, не исключено, что DUNS номер уже присвоен ей. Проверить есть ли номер у организации можно по ссылке: https://www.dnb.com/de-de/upik-en/

    Например, номер DUNS хостинг-провайдера Tendence.ru – 68-310-6396.

    Получить DUNS номер российская организация может:

    • бесплатно за 30 рабочих дней на сайте представителя DUNS в России компании Интерфакс;
    • в течение 5 рабочих дней за 12 480 руб. (включая НДС) там же;
    • бесплатно для разработчиков Apple;
    • бесплатно для поставщиков правительства США.

    Последние два способа получения весьма запутаны и сложны в применении.

    Если для OV SSL сертификатов наличие DUNS номера желательно, но необязательно, то выпустить EV (англ. Extended Validation – расширенная проверка) сертификат без него у некоторых поставщиков и вовсе не возможно. Имеет смысл заранее побеспокоиться о получении номера, чтобы не переплачивать за срочное внесение организации в реестр.

  3. Сформировать CSR-запрос (англ. Certificate Signing Request) — запрос на подпись сертификата это файл с информацией о заявителе. Также он содержит информацию о сертификате, для которого требуется удостоверение УЦ. Сформировать CSR можно двумя способами:

    • На сайте поставщика услуги. При этом сгенерированный приватный (закрытый, секретный) ключ создаётся и остаётся на его сервере. Это удобно, но небезопасно, так как третья сторона владеет необходимым для дешифрации данных ключом.
    • Самостоятельно с помощью команды:

      openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

    В результате будут созданы файл запроса server.csr и приватный ключ server.key Первый следует отправить в УЦ для подписи, а второй лучшие практики рекомендуют вообще не передавать через каналы связи, а переносить и хранить на съёмных носителях.

  4. Подтвердить номер телефона. Так как офисные телефоны не принимают SMS проверка телефона происходит не привычным сообщением, а голосовым звонком робота. Робот диктует 6 цифр, которые подтвердят принадлежность номера заявителю. Для удобства у некоторых поставщиков SSL-сертификатов можно выбрать язык обращения при звонке и даже время вызова.

    Обычный срок проверки информации и выпуска OV сертификата составляет несколько дней. В случае сомнений УЦ может запросить дополнительные документы для подтверждения организации.

  5. По готовности центр сертификации предоставит текстовые файлы с расширением .crt:

    • подписанным публичным ключом заявителя;
    • с публичным ключом самого удостоверяющего центра.

    Также могут прилагаться публичные ключи промежуточных (Intermediate) УЦ. Вместе с приватным ключом .key заявитель получает необходимый для использования набор сертификатов.

    Если предполагается использование сертификата в продуктах Microsoft (почтовый сервер Exchange, веб-сервер IIS и т. д.) потребуется сконвертировать формат PKСS в понятный ОС Windows формат PFX. Сделать это можно командой:

    openssl pkcs12 -inkey server.key -in server.crt -export -out server.pfx

CAA запись для ограничения выпуска

CAA-запись (англ. Certification Authority Authorization — авторизация центров сертификации) в DNS. При наличии эта текстовая запись в доменной зоне указывает на разрешение или запрет выпуска SSL-сертификата для домена теми или иными удостоверяющими центрами. Перед запросом сертификата необходимо убедиться, что CAA-запись отсутствует или она соответствует рекомендациям выпускающего центра.

Также CAA можно использовать как меру безопасности для ограничения неавторизованного выпуска сертификатов. Например, запись:

tendence.ru. IN CAA 0 issue ";"

запрещает выпуск SSL для домена tendence.ru любым УЦ, так как список разрешённых пуст: ";"

SSL-сертификат и SEO продвижение

Работа сайта по шифрованному протоколу HTTPS с применением SSL-сертификата является одним из значимых критериев ранжирования в поисковых системах. Google ещё в 2015-2016 годах явно указывал на то, что будет отдавать предпочтение в поисковой выдаче сайтам с защищённым протоколом. Таким образом поисковая система стимулирует переход ресурсов на защищённый HTTPS с целью обезопасить от перехвата платёжные и персональные данные пользователей.

Достоверная информация о преимуществах OV или EV перед DV сертификатами в поисковом продвижении у отсутствует. Для SEO важно лишь то, что сертификат выпущен доверенным удостоверяющим центром и не является самоподписанным.

OV SSL сертификат без хлопот

Заказать выпуск любого OV SSL сертификата включая Wildcard и SAN можно у хостинг-провайдера Tendence.ru Опытные специалисты подробно проконсультируют по вопросу и предложат оптимальный вариант SSL-сертификата. Заказать OV сертификат по лучшей цене на рынке от ведущих удостоверяющих центров: Sectigo (бывший Comodo), GlobalSign, TrustWave, DigiCert, GeoTrust, Thawte SSL, Symantec.




При перепубликации статьи установка активной индексируемой гиперссылки на источник — сайт Tendence.ru обязательна!

Количество просмотров370 просмотров