Настройка SSL-сертефиката

Да, вопрос был больше про использование сертификатов с Diafan, может это только у нас всё как то не просто.

Не забудьте добавить искусственный интеллект, пусть сама с клиентами разбирается.

То есть <insert name="path"> не подходит для корректного указания путей?

Да, конечно писали и там рекомендовали сначала внести правки в одни файлы, затем в другие. После этого основа вроде как работала, но в будущем мы наткнулись ещё на моменты где обработка https не проходила нормально и браузер сообщал о незащищённом содержимом. К тому моменту мы уже перестали помнить все файлы, которые поправили и места, которые в них правили и поняли, что, наверное, это не верный путь.

Это понятно но для вывода этих путей используются теги DiafanCMS <insert name="path"> получается что они не работают. Вместо ожидаемых https:// они возвращают http://, в документации по этому поводу ничего не написано. Вот и получается что на данный момент выход, убирать конструкции <insert name="path"> и писать в ручную https://

5.4.8.4

Доступ к ftp предоставил, но не для того чтобы настроить конкретный сайт, а для того, чтобы разобраться в чём именно заключается проблема.

Я думаю отличия должны описывать те, кто за них денег хочет, чтобы было понятно за что. Нашим клиентам вполне достаточно бесплатных и пока просьб заменить их на платные не поступало. Сайты нормально открываются в браузерах. И да, редирект с http на https в нашем случае происходить на уровне настроек хостинга, а не через .htaccess, но это наверное дело вкуса и конкретных условий.

Все очень просто. Прям в двух словах :)

В реальности существует большое количество сертификатов, каждый из которых предназначен для определенных задач. Достаточно распространенный тип сертификатов - это SSL (Secure Socket Layer). В свою очередь этот тип сертификатов можно разделить на несколько видов: Code Signing, Website Anti Malware Scanner и Unified Communications.

И так, SSL сертификат является распространенным средством поднятия защищенного канала связи. Поясню, чтобы защитить данные от перехвата (в том числе подмены) циркулирующие между сервером и клиентом (если хотите, то между веб-сервером или сайтом с одной стороны и браузером пользователя с другой стороны) используется специальный протокол HTTPS, который используется для передачи зашифрованных данных. А для того, чтобы заработал протокола HTTPS и нужен SSL сертификат.

Также SSL сертификаты можно разделить на самоподписанные (self-signed) и не самоподписанные.

Самоподписанный сертификат можно сгенерировать на веб-сервере или домашнем компьютере самостоятельно, то бишь бесплатно. И все будет достойно работать. Но такой сертификат предназначен для внутренних целей. Например, при создании защищенного канала связи между веб-камерами на вашей дачей и компьютером у вас дома (чтоб посторонний не подсмотрел). Поясню почему такой сертификат в основном для внутренних целей. Да потому, что Ваш браузер, обратившись к такому ресурсу, использующему самоподписанный сертификат, тут же покажет ошибку на весь экран. На самом деле такая ошибка означает, что браузер вас информирует, что подлинность сертификата невозможно проверить, так как он самоподписанный. Устранить такую ошибку можно двумя способами: первый, постоянно нажимать на такой странице "кнопку - ссылку" означающую - "продолжить соединение"; второй, установить такой сертификат в ваш браузер (секундное дело).

Не самоподписанный сертификат - это сертификат, выданные центром сертификации. Такой сертификат практически ничем не отличаются от самоподписанного, но ваш браузер не будет генерировать ошибку, так как он о нем знает и может проверить. Чаще всего такие сертификаты платные.

Теперь о том, что храниться в SSL сертификате: полное (уникальное) имя владельца сертификата, открытый ключ владельца, дата выдачи сертификата, дата окончания сертификата, полное (уникальное) имя центра сертификации, цифровая подпись издателя.

Теперь о том, что такое центр сертификации. Это доверенная организация (что то вроде нотариуса, который подписал бумажку, а мы верим), которая вправе выдать такой сертификат. То есть такая организация перед выдачей Вам сертификата проверяет Ваши исходные данные и гарантирует их достоверность. Наверно запутанно изложил, поэтому приведу простой пример. Допустим вы с домашнего компьютера решили посетить личный кабинет Сбербанка. Сервер банка в автоматическом режиме перебросил вас на защищенный канал связи. В работе такого канала связи используется сертификат, в котором написано, что это сертификат Сбербанка. При этом сертификат подписан не а бы кем, а организацией, которой мы можем доверять. Что же получилось в итоге. Например, я создал сайт-дубликат Сбербанка, поднял защищенный канал связи. При этом центр сертификации не поверил мне и мне пришлось сделать самоподписанный сертификат, в котором написал, что это сертификат Сбербанка. Но Ваш браузер не поверил самоподписанному сертификату и сообщил Вам. В итоге сертификат не только шифрует канал связи, но и позволяет убедится посторонним, что вы - это вы (как паспорт гражданина).

Таким образом, SSL сертификат как минимум сообщает (что-то одно или больше) ваше доменное имя, ваше название организации, ваш адрес, город и страну. Также сертификат всегда информирует о своем сроке действия и данные о центре сертификации, ответственного за выпуск сертификата. В свою очередь браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: проверка на просроченность сертификата, выпущен ли сертификат известным ему центром сертификации, используется ли сертификат на сайте, для которого он был выпущен. Если что-то не проходит проверку, то браузер отобразит предупреждение: SSL соединение не безопасно. Браузер в таком случае предложит покинуть сайт или продолжить просмотр.

Наиболее известные центры сертификации:
Comodo - работает с 1998 штабквартира в Jersey City, New Jersey, США.
Geotrust - основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, США.
Symantec - бывший Verisign в состав которого входит и Geotrust. Купил всех в 2010 году.
Thawte - основан в 1995, продан Verisign в 1999.
Trustwave - работает с 1995, штабквартира Chicago, Illinois, США.

Таким образом самый крупный игрок в этом деле - это Symantec, который владеет тремя крупнейшими центрами сертификации - Thawte, Verisgin и Geotrust. Основное отличие между разными центрами сертификации - это цена за сертификат и в каком количестве браузеров установлен их корневой сертификат. То есть, если в браузере не будет корневого сертификата, то он (браузер) выдаст знаменитую ошибку.

Что касается цены, то покупать сертификаты напрямую у центров сертификации невыгодно, так как цена для конечных пользователей у них существенно выше, чем для их партнеров.

Теперь о видах SSL сертификатов. Между собой они отличаются свойствами и уровнем валидации.

Cертификаты по типу валидации:
- сертификаты, которые подтверждают только доменное имя (Domain Validation - DV);
- сертификаты, которые подтверждают домен и организацию (Organization Validation - OV);
- сертификаты, с расширенной проверкой (Extendet Validation - EV).

Сертификаты с расширенной проверкой - это самые дорогие сертификаты. В таких сертификатах есть так называемый «green bar» - то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат. Например, https://nic.ru/ или https://thawte.com
Такие сертификаты обладают наибольшим уровнем доверия, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.

Сертификаты по своим свойствам:
- обычные SSL сертификаты (подтверждают только домен);
- сертификаты SGC (с поддержкой повышения уровня шифрования, актуальны для древних браузеров и не пользуются популярностью, т.е. практически никому не нужны такие сертификаты);
- сертификаты Wildcard (распространяется не только на основной домен, но и его поддомены - например, не только на diafan.ru, но и на cloud.diafan.ru);
- сертификаты SAN (хорош, если вы хотите использовать один сертификат для нескольких разных доменов, размещенных на одном сервере);
- сертификаты EV (с расширенной проверки и зеленой строкой в браузере);
- сертификаты c поддержкой IDN (поддерживают работу с IDN доменами);

Следует также отметить, что существуют сертификаты с гарантией. То есть, если клиент зашел на сайт, использующий такой сертификат, и пострадал от фрауда, потеряв свои деньги, то центр сертификации обязуется компенсировать потери до определенной суммы, указанной в гарантии.

Конечно можно и дальше продолжить, например, как именно самому создавать сертификаты или удостоверяющие центры, как их устанавливать на веб-сервера или хосты, как поднимать vpn каналы со сменой ключа раз в две минуты без разрыва сессии или https соединения, но думаю Вам будет не интересно. И так много написал, возможно лишнее все это.

В общем как-то так, успехов.