Проверить SSL сертификат сайта
Бесплатный сервис для проверки HTTPS-протокола онлайн поможет найти проблемы с установкой SSL сертификата на вашем сайте и убедиться, что он установлен правильно. Вставьте URL сайта в поле и нажмите «Проверить». Через несколько секунд сервис покажет информацию о вашем SSL-сертификате: дату выпуска и окончания.
Для чего нужен SSL-сертификат?
SSL-сертификат — это цифровая подпись сайта, необходимая для того, чтобы работал протокол защищенной передачи данных через интернет. По сути, это набор файлов, которые установлены на сервер. Информация, передающаяся между сайтом и пользователем шифруется таким образом, что провайдер или администратор Wi-Fi сети, через которую подключается пользователь, не могут получить доступ к данным.
Сертификат содержит следующую информацию:
- Доменное имя;
- Местоположение и контакты владельца (не всегда);
- Срок действия сертификата;
- Данные компании, выдавшей сертификат.
Если проблем с SSL нет, между браузером пользователя и сервером устанавливается безопасное соединение по HTTPS-протоколу. Сертификат не защищает сайт от взлома, но не дает перехватить информацию, которую пользователь оставляет на сайте — логин и пароль, данные банковской карты, адрес для доставки и другие.
Зачем проверять SSL-сертификат?
Регулярная проверка SSL нужна, чтобы убедиться, что ваш сайт доступен пользователям и не блокируется браузером или антивирусом.
Наличие сертификата влияет на продвижение в поисковых сетях. Например, Google понижает незащищенные сайты в выдаче, так что можно считать, что это один из факторов ранжирования. Браузер Chrome в случае попадание на сайт без SSL сообщает, что сайт небезопасен, это может отпугнуть пользователей. Соответственно, если вы не установите или не обновите вовремя свой сертификат, трафик сайта может упасть и доверие пользователей снизится.
Какие самые частые ошибки?
Ошибка в установке сертификата
Возможно, не хватает корневого сертификата или допущены другие ошибки при установке. О том, как перейти на HTTPS, читайте в нашей статье.
Неправильно указанное время на устройстве
Если на устройстве, с которого пользователь заходит на сайт, дата и время выставлены неправильно, браузер может выдать ошибку, посчитав сертификат просроченным. Нужно настроить верные дату и время.
На сайте установлен SSL-сертификат, но браузер сообщает, что к нему нет доверия
Как правило, браузеры имеют список доверенных производителей сертификатов. В этом списке есть не все поставщики, поэтому браузер может усомниться в качестве вашего сертификата.
У вас установлен самоподписанный сертификат
Самоподписанные сертификаты бесплатно генерируются самими серверами, а не выдаются в компаниях-поставщиках сертификатов. Само по себе это не ошибка, но сработает только в случае, если пользователи знают, что на сайте установлен именно такой сертификат и подтвердили его в браузере. Остальные пользователи увидят ошибку и могут передумать заходить на сайт.
Антивирус блокирует сайт
Антивирусная программа может посчитать сайт опасным. Если вы доверяете сайту, добавьте его в список исключений антивируса.
Как узнать, есть ли у сайта SSL
В данной статье мы рассмотрим, как проверить, есть ли у сайта SSL-сертификат.
Проверка через браузер
Откройте браузер — например, Google Chrome, Mozilla Firefox, Microsoft Edge или любой другой. В адресной строке браузера введите домен сайта, но в начале домена вместо стандартного протокола http:// введите http s :// — то есть, добавьте «s» к протоколу (рис. 1).
Рисунок 1.
После ввода нажмите клавишу Enter. Если сайт открылся — значит, у него есть SSL-сертификат (рис. 2).
Рисунок 2.
Теперь введите в строку браузера такой же адрес, но уже с «www» (например, https://www.site.ru).
Заметка
Важно проверять открытие сайта по протоколу https по обоим зеркалам («с www» и «без www»), так как бывают случаи, когда на одном из зеркал сайта есть SSL-сертификат, а на другом — нет. Однако, такие случаи крайне редки.
Если вместо открытия сайта браузер покажет ошибку — подробное описание причин и решение вы можете узнать в отдельной статье.
Вы можете заказать покупку и установку SSL-сертификата под ключ по ссылке. В этом случае все необходимые работы произведут специалисты нашей поддержки.
Проверка через онлайн-сервис
Существует альтернативный способ проверить, есть ли у сайта SSL-сертификат — через онлайн-сервис.
Мы рассмотрим сервис sslshopper.com — он простой и достаточно информативный.
Перейдите на страницу сервиса, введите домен и нажмите кнопку «Check SSL» (рис. 3).
Рисунок 3.
В результате проверки сервис покажет, есть у сайта сертификат или нет, а также укажет на возможные проблемы с сертификатом.
Если сервис сообщит об ошибке — подробное описание причин и решение вы можете узнать в отдельной статье.
Инструмент Проверки SSL Сертификата для Сайта
Воспользуйтесь нашим бесплатным онлайн инструментом для проверки HTTPS соединения на веб-сайте, чтобы убедиться, что ваш SSL сертификат действителен и установлен правильно. Все, что вам нужно сделать, это указать имя сайта и нажать кнопку ‘Проверить SSL’
Как только SSL сертификат будет загружен и декодирован, он будет описывать подробную информацию: Дату выпуска, Дату окончания срока действия сертификата, данные о Приватном Ключе, Серийный номер, Размер ключа, Общее имя, SAN домены, Организацию, Адрес электронной почты, Страну и цепочку SSL сертификатов.
Проверка сертификата SSL
Что такое SSL? Под этой аббревиатурой принято понимать специальный протокол шифрования данных, которые предусмотрены между сервером, на котором размещаются ресурсы и клиентом. Данный протокол представляет собой наиболее распространенный способ защиты данных в сетевом пространстве. Для того чтобы сайт оставался безопасным для посетителей, нужна периодическая проверка сертификата SSL, которая предусматривает анализ данных по протоколу. Прежде чем описать каким образом осуществляется проверка, укажем, что представляет собой сам протокол.
Данные об SSL
В свое время, данная мера безопасности была разработана непосредственно компанией Netscape. Безопасный обмен обеспечивается посредством уникального механизма шифрования, а также последующей аутентификации выданного цифрового сертификата. Представляет собой https сертификат безопасности — своеобразный файл, который в дальнейшем идентифицируется серверами. Подпись такого сертификата осуществляется специализированными центрами, они же и заверяют данный электронный протокол. Такие сервисы принято называть центрами, удостоверяющими SSL или же центр сертификации.
Более простыми словами можно сказать, что такой протокол представляет собой своеобразную цифровую подпись сайта, что позволит подтвердить его подлинность. Таким образом, клиенты, решившие подключить и проверить SSL сертификат обеспечивают безопасное использование своих ресурсов.
Практическое применение протоколов позволит обеспечить, как полноценную защиту ресурса, так и клиентов, принявших решение посещать сайты и взаимодействовать с ними. Сертификат позволяет без проблем применить к собственному сайту специальную методику шифрования.
Процедура проверки сертификата
Каким образом можно проверить SSL сертификат? С помощью специального сервиса Regery можно проверить дату выпуска, состояние правильности структуры кода, срок действия сертификата. Сервисом можно воспользоваться абсолютно бесплатно, следовательно, это позволит без проблем воспользоваться услугами сервиса. Проверка покажет, есть ли необходимость в перевыпуске сертификата, что является неоспоримым преимуществом разработки. HTTPS проверка сертификата выполняется в несколько нажатий на клавиши, и не требует от пользователя выполнения сложных операций.
В настоящее время, браузеры выставляют требования относительно использования протоколов вне зависимости от конкретных сайтов, помечая отдельные из них как небезопасные. После того, как сайт был куплен или обновлен, обязательно должна быть проведена проверка валидности SSL.
По результатам можно отметить и наличие определенной цепочки сертификатов. Данные потребуются владельцу ресурса для того, чтобы иметь возможность обеспечить систематическое шифрование текущего соединения. Если остались вопросы, можно воспользоваться службой поддержки, сотрудники которой смогут решить сложившуюся ситуацию, за короткий промежуток времени.
Специалисты Regery – команда профессионалов, решающих ряд задач, включая строительство безопасных и удобных средств проверки, приобретения и управления SSL сертификатами, регистрации и трансфера домена. Обратитесь к нашим специалистам через любой канал связи и мы поможем в вопросах выбора и регистрации доменов или SSL для Вашего сайта
Как просмотреть содержимое ключей и сертификатов SSL
Мы можем подробно изучить содержимое всех созданных в OpenSSL файлов, а также при необходимости конвертировать их в другие форматы.
В следующих командах используются тестовые файлы со следующими именами:
- rootCA.key — ключ CA
- rootCA.crt — сертификат CA
- mydomain.com.key — ключ сервера
- mydomain.com.csr — запрос за подпись сертификата сайта
- mydomain.com.crt — сертификат сайта
Обратите внимание на расширения файлов — они могут отличаться от тех, которые используются в других инструкциях. Например, вместо .key и .crt может использоваться расширение .pem. Расширение файла не имеет особого значения кроме как служить подсказкой пользователю, что именно находится в этом файле. Это же самое касается и имён файлов — вы можете выбирать любые имена.
Все эти файлы являются текстовыми:
Там мы увидим примерно следующее:
Если вам эти строки кажутся знакомыми на кодировку Base64, то вы совершенно правы — это она и есть. (Смотрите также «Как быстро узнать и преобразовать кодировку»).
Этот формат, называемый форматом PEM, расшифровывается как Privacy Enhanced Mail.
PEM — это текстовое представление реального двоичного ключа или сертификата в формате DER. Представляет собой двоичного формата DER в кодировке base64 и с дополнительными строками «——BEGIN PRIVATE KEY——», «——BEGIN CERTIFICATE——» и другими в начале файла и строками «——END PRIVATE KEY——», «——END CERTIFICATE——» в конце файла.
Мы можем хранить двоичную версию файла только с кодировкой DER, но наиболее распространенным способом является версия PEM.
Вы можете увидеть структуру приватного следующей командой:
Опция -in ИМЯ_ФАЙЛА указывает имя файла ввода для чтения ключа или стандартный ввод, если эта опция не указана. Если ключ зашифрован, будет запрошен пароль.
Опция -text печатает различные компоненты открытого или закрытого ключа в виде простого текста в дополнение к закодированной версии.
Любой формат ключа на самом деле является контейнером для набора длинных чисел. Все остальные данные можно считать «шумом».
Закрытый ключ содержит: модуль (modulus), частный показатель (privateExponent), открытый показатель (publicExponent), простое число 1 (prime1), простое число 2 (prime2), показатель степени 1 (exponent1), показатель степени 2 (exponent2) и коэффициент (coefficient).
Открытый ключ содержит только модуль (modulus) и открытый показатель (publicExponent).
Вы можете из влечь из файла ключей публичный ключ:
По умолчанию выводится закрытый ключ: с опцией -pubout вместо него будет выведен открытый ключ. Эта опция устанавливается автоматически, если ввод является открытым ключом.
Следующая команда покажет информацию о публичном ключе:
По умолчанию из входного файла считывается закрытый ключ. Используемая в предыдущей команде опция -pubin делает так, что вместо приватного ключа читается открытый ключ.
Можно также добавить опцию -noout — с ней будет выведена та же самая информация, но не будет показана кодированная версия ключа.
С такими же опциями, но уже используя команду req, можно изучить содержимое запроса на подпись сертификата:
При создании SSL сертификата мы создали две пары ключей (корневые и для домена), то есть это файлы rootCA.key и mydomain.com.key, но по своей технической сути они идентичны.
Что касается сертификатов, которых у нас тоже два (rootCA.crt и mydomain.com.crt), то по своей природе они не являются одинаковыми: корневой сертификат является самоподписанным, а сертификат домена подписан приватным корневым ключом.
Информацию о содержимом сертификатов можно посмотреть командой x509 (остальные опции нам уже знакомы):
Самоподписанные сертификаты обычно содержат только самые основные данные сертификатов, как показано в предыдущем примере. Для сравнения, сертификаты, выданные общедоступными центрами сертификации, гораздо интереснее, поскольку они содержат ряд дополнительных полей (с помощью механизма расширений X.509).
Сертификат (цепочку сертификатов) любого сайта вы можете получить следующей командой (замените w-e-b.site на интересующий вас сайт):
Вы увидите сертификаты (один или несколько), найдите по полю CN тот, который вас интересует, например, сертификат домена w-e-b.site:
И скопируйте содержимое начиная с ——BEGIN CERTIFICATE—— и заканчивая ——END CERTIFICATE——. Затем сохраните это в файл.
Вы также можете сохранить сертификат центра сертификации и изучить его:
К примеру, сертификат сайта w-e-b.site я сохранил в файл w-e-b.site.crt, для просмотра информации о нём:
Issuer указывает на организацию, которая выдала (подписала) сертификат:
Validity — срок действия сертификата:
Subject: CN — домен (IP адрес) для которого предназначен сертификат:
Поддомены в группе X509v3 extensions → X509v3 Subject Alternative Name (подробности чуть позже):
Теперь бегло рассмотрим расширения X.509.
Расширение Basic Constraints используется для маркировки сертификатов как принадлежащих ЦС, давая им возможность подписывать другие сертификаты. В сертификатах, отличных от CA, это расширение будет либо пропущено, либо будет установлено значение CA, равное FALSE. Это расширение является критическим, что означает, что все программные сертификаты должны понимать его значение.
Расширения Key Usage (KU) и Extended Key Usage (EKU) ограничивают возможности использования сертификата. Если эти расширения присутствуют, то разрешены только перечисленные варианты использования. Если расширения отсутствуют, ограничений на использование нет. То, что вы видите в этом примере, типично для сертификата веб-сервера, который, например, не позволяет подписывать код:
Расширение CRL Distribution Points перечисляет адреса, по которым можно найти информацию о списке отзыва сертификатов (CRL) ЦС. Эта информация важна в случаях, когда сертификаты необходимо отозвать. CRL — это подписанные CA списки отозванных сертификатов, публикуемые через регулярные промежутки времени (например, семь дней).
Примечание: возможно, вы заметили, что местоположение CRL не использует защищённый сервер, и вам может быть интересно, является ли ссылка небезопасной. Не является. Поскольку каждый CRL подписан центром сертификации, который его выпустил, браузеры могут проверить его целостность. В том же случае, если бы CRL были доступны по TLS (адрес включал бы в себя протокол HTTPS), то браузеры могут столкнуться с проблемой «курицы и яйца», в которой они хотят проверить статус отзыва сертификата, используемого сервером, доставляющим сам CRL!
Расширение Certificate Policies используется для указания политики, в соответствии с которой был выпущен сертификат. Например, именно здесь можно найти индикаторы расширенной проверки (EV). Индикаторы представлены в форме уникальных идентификаторов объектов (OID) и являются уникальными для выдающего ЦС. Кроме того, это расширение часто содержит один или несколько пунктов CPS, которые обычно являются веб-страницами или документами PDF.
Расширение Authority Information Access (AIA) обычно содержит две важные части информации. Во-первых, он перечисляет адрес ответчика CA OCSP, который можно использовать для проверки отзыва сертификатов в режиме реального времени. Расширение также может содержать ссылку, где находится сертификат эмитента (следующий сертификат в цепочке). В наши дни серверные сертификаты редко подписываются непосредственно доверенными корневыми сертификатами, а это означает, что пользователи должны включать в свою конфигурацию один или несколько промежуточных сертификатов. Ошибки легко сделать, и сертификаты будут признаны недействительными. Некоторые клиенты (например, Internet Explorer) будут использовать информацию, представленную в этом расширении для исправления неполной цепочки сертификатов, но многие клиенты этого не сделают.
Расширения Subject Key Identifier и Authority Key Identifier устанавливают уникальные идентификаторы ключа субъекта и ключа авторизации соответственно. Значение, указанное в расширении Authority Key Identifier сертификата, должно соответствовать значению, указанному в расширении Subject Key Identifier в выдающем сертификате. Эта информация очень полезна в процессе построения пути сертификации, когда клиент пытается найти все возможные пути от конечного (серверного) сертификата до доверенного корня. Центры сертификации часто используют один закрытый ключ с несколькими сертификатами, и это поле позволяет программному обеспечению надёжно определять, какой сертификат может быть сопоставлен с каким ключом. В реальном мире многие цепочки сертификатов, предоставляемые серверами, недействительны, но этот факт часто остаётся незамеченным, поскольку браузеры могут находить альтернативные пути доверия.
Наконец, расширение Subject Alternative Name используется для перечисления всех имен хостов, для которых действителен сертификат. Это расширение раньше было необязательным; если его нет, клиенты возвращаются к использованию информации, представленной в Common Name (CN), которое является частью поля «Subject». Если расширение присутствует, то содержимое поля CN игнорируется во время проверки.
Рассмотрим опции команды x509, которые позволяют извлечь разнообразную информацию из сертификатов.
Чтобы показать издателя сертификата используйте опцию -issuer:
Опция -fingerprint вычисляет и выводит дайджест DER-кодированной версии всего сертификата. Это обычно называют «отпечатком». Из-за характера дайджестов сообщений, отпечаток сертификата является уникальным для этого сертификата, и два сертификата с одинаковым отпечатком могут считаться одинаковыми. Для сертификатов обычно не нужно сверять сертификаты по отпечаткам, но это имеет смысл при использовании самоподписанных сертификатов (например, получении сертификата для VNC сессии, когда нет другого способа проверить, что сертификат не был подменён при пересылке). В этом случае можно сверить отпечаток сертификата, например, по телефону или электронной почте.
Для показа отпечатка сертификата:
Чтобы вывести сертификат в виде строки символов в стиле C — char, используйте опцию -C:
Чтобы вывести расширения сертификата в текстовой форме, используйте опцию -ext. Несколько расширений можно перечислить через запятую, например "subjectAltName,subjectKeyIdentifier". Чтобы посмотреть весь список расширений:
Пример команды для вывода альтернативных имён в домене:
Пример информации об альтернативных именах домена:
Для вывода почтовых адресов, содержащихся в сертификате, используйте опцию -email. Адреса электронной почты могут отсутствовать в сертификате.
Для вывода адресов респондентов OCSP, если они присутствуют в сертификате, укажите опцию -ocsp_uri:
Для показа дат из сертификата имеются следующие опции:
- -startdate: Распечатывает дату начала сертификата, то есть дату notBefore (не ранее).
- -enddate: Распечатывает дату истечения срока действия сертификата, то есть дату notAfter (не позднее).
- -dates: Распечатывает даты начала и окончания срока действия сертификата.
Для вывода имени subject укажите опцию -subject:
Чтобы показать имя subject сертификата в форме RFC2253 используйте сочетание опций -subject -nameopt RFC2253:
Пример вывода имени subject сертификата в форме схемы на терминале, поддерживающем UTF8:
Опция -serial выводит серийный номер:
Чтобы извлечь публичный ключ из сертификата используйте опцию -pubkey:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».