Fdi что это сертификат
Почему сертификация важна, как подготовиться и сдать экзамены AWS, Azure, GCP, etc…
Сразу с позитивного и очевидного
Сами по себе экзамены и сертификаты не несут в себе ничего отрицательного, негативные моменты будут рассмотрены ниже, начнем с позитивных и очевидных:
Сертификация подтверждает ваши технические знания (повышает «видимость» вашего CV для нового проекта/заказчика)
Позволяет двигаться в профессии, например от среднего уровня в «Professional» уровень
Подготовка к сертификации позволяет закрыть пробелы в знаниях
Позволяет выделить область необходимых знаний для разных ролей: Developer, DevOps, SysOps Administrator, разделить на «Middle/Associate», «Professional/Senior» уровень и определить «сколько» нужно изучать (см. рисунок ниже). Например, вы работали работали с облаком на одном проекте 3 года, начали готовиться к AWS Certified Sysops Administrator и выяснилось, что для проекта знаний было достаточно и вы давно авторитет, а для сертификата среднего уровня нет (это может выручить при переходе на новый проект и избавить от ловушки «вечного мидла», если проект простой)
Показывает технологию с точки зрения производителя
На собеседованиях кандидаты с сертификатами рассказывают более структурировано
Как результат, может помочь перейти на следующий уровень в карьере (например с Middle на Senior) и в некоторых случаях привлечет проекты
Негативное и позитивное использование сертификации
Позитив: при подготовке к повышению лучше показать 2-3 или 3-4 достижения, в зависимости от позиции и требований. Сертификация облегчает этот процесс, например вы можете показать свою готовность к повышению представив несколько достижений:
я переписал код Terraform и деплоймент продукта теперь происходит на час быстрее
прошел ассесмент внутри компании по Английскому с A2+ на B1 или закончил курс
сдал экзамен и получил сертификат AWS Certified SysOps Administrator
(Увеличение ЗП надо планировать, знать возможный «шаг» повышения в компании в процентах, заранее заявить лицу принимающему решение и обсудить, что именно понадобиться)
Позитив: Для компании важно наличие сертифицированных специалистов, вы находитесь в отделе консалтинга по продукту или работаете как technology evangelist, тогда ваши достижения нужно «рекламировать» и сертификация в таком случае может сильно продвигать по карьерной лестнице.
Как готовиться к сертификации
Выберите наиболее интересный для вас экзамен, если вы готовитесь первый раз. Не ставьте цель выучить cloud и быть профессионалом, поставьте несколько менее важных и более достижимых целей:
прорешать все лабы (hands-on experience наиболее важен)
«AWS Certified Solutions Architect» preparation roadmap:
Тренинг: «A Cloud Guru: AWS Solutions Architect Associate» или курс на udemy (вы можете воспользоваться 7-дневным бесплатным режимом на «A Cloud Guru». Внимательно следите за ценами и скидками, например ночью курсы udemy в 10 раз дешевле)
Лабораторные: в случае подготовки к AWS Solutions Architect лабораторные идут в пакете к тесту на whizlabs.
Регистрация на экзамен (на момент написания статьи сертификационный провайдер Pearson VUE позволяет сдавать экзамены AWS удаленно, из дома или офиса):
Если вы успешно сдали экзамен, но все равно, сертификация вас не радует, это бесценный опыт и вы можете двигаться дальше и пробовать другие пути влиять на карьеру. В большинстве случаев, после успеха на первом экзамене кандидат начинает кайфовать от процесса и двигается по сертификационному пути до уровня Senior/Professional.
Fdi что это сертификат
Международный сертификат FDA — почему он нужен?
В наше время человек ежедневно ощущает переизбыток информации. Все эти кричащие лозунги и громкие преувеличения привели к тому, что мы не знаем чему верить. Ведь на деле, все может оказаться пустым звуком.
Именно поэтому так важны подтверждения качества. Эти бесспорные доказательства, которые повышают уровень доверия клиентов. Одним из знаменитых и действительно весомых реальных документов является сертификат качества FDA. О нем и поговорим.
Как расшифровывается FDA и что это такое?
FDA (а точнее USFDA) — это одно из подразделений санитарной службы Министерства Здравоохранения США, которое контролирует качество и безопасность продуктов. Оно занимается тестированием на предмет безопасности самых разнообразных продуктов — начиная едой и заканчивая косметологическим и медицинским оборудованием. Стандарты качества этого управления имеют международную силу, ведь их критерии выбора считаются самыми строгими. FDA также поддерживает принцип здорового образа жизни в Соединенных Штатах Америки.
Еще одной особенностью этого ведомства является то, они проверяют то, что не проверяют остальные — например некоторые виды медицинского оборудования и лазеры.
Также, FDA в ходе исследований, которые длятся годами, может отозвать свой сертификат. Это может произойти в случае выявления потенциальной опасности для окружающих. Они могут присваивать продукту статус “approved” и “regulated”.
Сертификат FDA — это соответствие товара множеству критериев безопасности. Но есть определенные ситуации, в случае которых присваиваются разные статусы. Метка “Approved” относится к косметике и получается только после выхода косметологического средства на продажу. С этого момента начинается следующий этап тестирования: проверка действия на пользователей. В случае, какого-то побочного или негативного эффекта, покупатель может заполнить анкету отзыва на официальной странице ведомства. Таким образом, управление собирает огромное количество данных, анализируя которые, создает реальную статистику.
Конечно, перечень требований к продуктам разной сферы отличаются. Совсем разные пункты в списках медицинской и косметологической продукции. Но некоторые производители жульничают, продавая медицинские средства под видом косметологического или наоборот присваивать косметологическому составу статусное “медицинское применение”. Естественно, от этих названий зависит и цена.
Сертификат FDA — гарантии
Такой документ открывает доступ на многие рынки мира, не только США. Есть множество стран, где этот сертификат считается статусным, в том числе и в Украине.
Использование сертифицированного оборудования в медицинских и косметологических заведениях — это поддержка преимального статуса, как среди конкурентов, так и среди клиентов. Такое серьезное подтверждение высшего качества повышает всестороннюю лояльность.
Сертификация ISTQB. Часть 1: быть или не быть?
Что такое ISTQB, уровни сертификации ISTQB и так ли вам это необходимо
ISTQB – некоммерческая организация, которая занимается вопросами развития сферы тестирования ПО, основана представителями 8 стран: Австрии, Дании, Финляндии, Германии, Швеции, Швейцарии, Нидерландов и Великобритании.
ISTQB Сертификация Тестировщика – программа, которая позволяет специалистам получать международный сертификат по тестированию.
На декабрь 2018 года организацией ISTQB было проведено 830 000+ экзаменов и выдано более 605 000+ сертификатов, которые признаются в 126 странах мира.
Звучит здорово, не так ли? Однако так ли необходима сертификация на самом деле? Какие преимущества дает наличие сертификата специалистам по тестированию и какие возможности открывает перед ними?
Какой ISTQB выбрать?
Для начала разберемся с вариантами сертификации специалистов по тестированию. ISTQB предлагает 3 уровня сертификации и 3 направления для каждого из уровней согласно матрице:
Что нужно знать о выборе уровней и направлений:
1. Уровень Foundation (F) направления Сore – основа для любого сертификата более высокого уровня.
2. Уровень F направления Specialist – для него предусмотрена узкоспециализированная сертификация: usability, mobile application, performance, acceptance, model-based тестирование и др.
3. Уровень F и Advanced (AD) направления Agile – спрос на сертификаты такого образца за последние 2 года вырос более чем на 20%.
4. Уровень AD – предусмотрена сертификация для/по:
— тест-менеджеров;
— инженеров по автоматизации тестирования;
— тест-аналитике;
— технической тест-аналитике;
— тестированию безопасности.
5. Уровень Expert (EX) – предполагает сертификацию по направлениям тест-менеджмент и улучшение процесса тестирования.
Кстати, при выборе уровней сертификации для нужного вам направления обращайтесь к информации основного сайта ISTQB, т.к. на сайтах провайдеров бывают неточности в описании.
Поговорим о преимуществах
С точки зрения Qa-специалиста сертификация – это:
1. Прежде всего подтверждение квалификации и профпригодности международными экспертами в области тестирования, а это, в свою очередь, открывает доступ к новым рынкам труда. На международном уровне сертификат признается в 126 странах мира – рай для удаленной работы или предпосылка к переезду.
2. Повышение конкурентоспособности на рынке труда: хотя большинство работодателей и не требует сертификат ISTQB у соискателей, порядка 55% тест-менеджеров отмечают, что хотели бы иметь 100%-й штат сертифицированных специалистов (исследование ISTQB_Effectiveness_Survey_2016-17).
3. Уверенность в завтрашнем дне. Сертификат не гарантирует топовую зарплату при трудоустройстве или автоматическое продвижение по работе, зато является своеобразной «несгораемой суммой», ниже которой ваш труд не оценят.
4. Расширение и систематизация знаний в области QA. Сертификация – отличный способ для QA-специалиста нарастить и обогатить знания по тестированию. А если вы матерый тестировщик, то обновить и упорядочить знания в предметной области, в том числе за счет международных стандартов и методологий отрасли.
С точки зрения компании сертификация – это:
1. Дополнительное конкурентное преимущество на рынке: компании с штатом сертифицированных экспертов на порядок реже предоставляют некачественные консалтинговые и QA-услуги, что положительно сказывается на репутации и потоке новых заказов.
2. Бонус при участии в крупных тендерах: наличие сертифицированных специалистов дает преимущество компаниям при участии в конкурсном отборе применительно к тендерам.
3. Снижение рисков: наличие сертификата говорит о том, что специалисты владеют методологией тестирования, а это снижает риски проведения некачественного тест-анализа и может повысить скорость тестирования за счет оптимизации числа тестовых сценариев.
4. Преимущества на международном рынке при оказании услуг по тестированию ПО, предназначенного для иностранных клиентов и иностранного ПО.
5. Рост компетенций внутри компании за счет наставничества и обучения несертифицированных специалистов признанным международным стандартам в области тестирования.
Для компаний есть еще несколько интересных бонусов и направлений, предлагаемых ISTQB:
Международная премия в области тестирования программного обеспечения за выдающиеся многолетние заслуги в области качества программного обеспечения, инновации, исследования и продвижение профессии тестирования программного обеспечения.
Лауреаты премий – эксперты в области тестирования и разработки, авторы исследований, новых подходов в тестировании.
Программа признает организации с продемонстрированной приверженностью тестирования программного обеспечения сертификации. Программа включает четыре уровня партнерства (Серебряный, Золотой, Платиновый и Глобальный), а уровень партнерства организации определяется по количеству набранных ею сертификационных баллов (Eligibility Grid).
Какие особенности:
В свою очередь ISTQB размещает информацию о конференции на официальном веб-сайте, а организаторы мероприятий, участвующие в Conference Network, предоставляют скидку:
Представляет собой сборник примеров и практик компаний и институтов разных стран в сотрудничестве с ISTQB. Например, разработка нового направления с учетом тенденций развития тестирования в стране (Канада), развитие сертификации ISTQB среди студентов (Чехия).
Что же думают о сертификации ISTQB специалисты в области тестирования?
Мнения специалистов «Лаборатории качества».
Анжелика Притула (сертификация ISTQB CTAL-TA), ведущий специалист по тестированию компании «Лаборатория качества»:
– Что тебя мотивировало на получение этого сертификата?
– Это необходимое требование за границей, чтобы устроиться в серьезную компанию тестировщиком. Я тогда жила в Новой Зеландии, меня взяли на работу в организацию, которая выпускает систему контроля анестезии для операционных комнат. Система утверждена правительством НЗ, поэтому было обязательное требование, чтобы тестировщик был сертифицирован. Компания оплатила сдачу моих обоих сертификатов. От меня требовалось только подготовиться и сдать.
– Скачала бесплатные учебники с официального сайта и по ним подготовилась. К первому общему экзамену готовилась 3 дня, ко второму продвинутому – 2 недели.
Тут надо сказать, что мой опыт подойдет не всем, т.к. по образованию я разработчик. И к тому моменту я 2 года занималась разработкой ПО, прежде чем уйти в тестирование. К тому же у меня английский практически на уровне носителя языка, поэтому для меня не было проблемой готовиться и сдавать экзамены на английском.
– Какие преимущества и недостатки лично ты видишь в сертификации ISTQB?
– Преимущества неоспоримы, этот сертификат требовали везде при устройстве на работу. А наличие продвинутого сертификата в тест-анализе потом стало пропуском для работы в министерстве экономики НЗ и далее – в дочерней компании Майкрософта.
Недостатки тут – только высокая цена. Если сертификат не оплачивается компанией, то стоимость ощутимая. Когда я сдавала, обычный стоил 300 долларов, а продвинутый – 450.
Артем Михалев, аккаунт-менеджер «Лаборатории качества»:
– Твое мнение и отношение к сертификации ISTQB?
– По моему опыту этот сертификат в России получают в основном сотрудники компаний, участвующих в тендерах. Что касается проверки уровня знаний в ходе сертификации, считаю, что это хорошая подготовка.
– О тендерах расскажи, пожалуйста, более подробно.
– Как правило, для участия в тендерах необходимо какое-то количество сертифицированных сотрудников в компании. В каждом тендере свои условия, и, чтобы в нем участвовать, нужно подходить под критерии.
Юлия Миронова, сотренер курса Натальи Руколь «Комплексная система подготовки тестировщиков по программе ISTQB FL», обладатель сертификата ISTQB FL:
– Какие источники ты использовала при подготовке к экзамену?
– Готовилась по дампам экзаменов и с помощью комплексной системы подготовки (КСП) к ISTQB от Натальи Руколь.
– Какие преимущества и недостатки лично ты видишь в сертификации ISTQB FL?
– Основной плюс: человеку хватило терпения изучить и сдать теорию – значит, он стремится к обучению, сможет освоиться на новых проектах и задачах.
Главный недостаток – это устаревшая программа курса (2011 г.). Многие термины уже не используются в практике.
2. Мнения специалистов разных стран:
А что думают специалисты в области тестирования и разработки ПО из США и Европы:
«Креативное мышление более ценно, чем сертификация. В ситуации с наймом я, как правило, предпочитаю человека, который имеет самый непосредственный опыт работы, вместо сертифицированного специалиста. Кроме того, если сертификация сертифицированного специалиста не добавляет ценности работе, она становится для меня скорее отрицательным показателем, чем положительным».
Джо Коли Мендон, Массачусетс.
«Сертификаты могут помочь в отборе лучшей части специалистов на рынке труда, из которой вы можете затем выбрать подмножество, которое действительно отвечает всем требованиям. Сертификаты не являются панацеей от проблем с набором персонала и не станут надежной, железной гарантией наличия у работника необходимых навыков».
Дебашиш Чакрабарти, Швеция.
«Означает ли наличие сертификата, что менеджер проекта является хорошим специалистом? Нет. Значит ли это, что он заинтересован в том, чтобы тратить время на себя и продвигать профессию с помощью непрерывного образования и участия? Да».
Райли Хоран Сент-Пол, Миннесота
3. Что происходит на рынке труда: необходима ли сертификация в области тестирования при устройстве на работу?
Наблюдения по итогу анализа рынка труда на LinkedIn:
Выводы
Сертификация может являться обязательным требованием для отдельных компаний или на госпроектах. Принимая решение о необходимости получения сертификата ISTQB, стоит ориентироваться на следующие реалии:
Во второй части статьи QA-инженеры “Лаборатории качества” Анна Палей и Павла Толоконина на личном примере расскажут о том, как они готовились, регистрировались, проходили тестирование и получали сертификаты ISTQB в условиях России и за рубежом. Подписывайтесь и следите за новыми публикациями.
Анна Палей,
Тест-менеджер компании «Лаборатория Качества».
Fdi что это сертификат
1. Сертификация в области тестирования на проникновение
Наибольшую популярность среди специалистов данного профиля имеет сертификация от Offensive Security. Предлагаемые к прохождению курсы — на данный момент их уже порядка пяти — направлены на оценку навыков поиска и эксплуатации уязвимостей в следующих сценариях:
Более подробный разбор особенностей сертификации по CISSP, CISA и CISM можно увидеть здесь и вот здесь. Со своей стороны хочется заметить, что особое положение приведенной тройки сертификатов обеспечено несколькими факторами:
1. Они относительно давно представлены на рынке (CISM — с 2002-ого года, CISSP — с 1991-ого, а CISA — аж с 1976-ого года) и признаны со стороны профессионального сообщества — например, подавляющее большинство зарубежных компаний попросту не рассматривают резюме кандидатов, не имеющих одного из обозначенных сертификатов.
2. Тематика вопросов, рассматриваемых в рамках экзаменов CISSP, CISA и CISM, фактически покрывает все аспекты профессии специалиста в области ИБ, за исключением практических навыков (см. сертификаты OSCP, CEH, CCNA Security и т. д.).
Характерным подтверждением приведенных доводов является список требований к квалификации соискателя на звание QSA (Qualified Security Assessor), выдаваемого PCI SSC — одним из ключевых пунктов является обязательное наличие сертификатов, один из которых подтверждает квалификацию в области ИБ (сертификат CISSP или CISM), а другой — квалификацию в области аудита (сертификат CISA).
Кто-то из читателей может вспомнить о сертификации ISO/IEC 27 001 (в частности, о званиях ISO/IEC 27 001 Lead Auditor и Lead Implementer). Ситуация с ISO неоднозначная: с одной стороны, для аудитора и ИБ-специалиста данный стандарт представляет собой действительно ценный кладезь знаний, поскольку учит четко регламентированному процеcсному подходу к обеспечению безопасности, а с другой стороны так сложилось, что квалифицированный аудит по 27 001 может провести только представитель BSI — британского института, создавшего серию стандартов BS 7799, которая в итоге была собрана в ISO 27 001. Таким образом, практическая значимость получения данного сертификата вызывает определённые вопросы.
3. Сертификация технических специалистов
Нерассмотренным остался класс сертификатов, которыми в большей мере пользуются технические ИБ-специалисты. Подтверждение квалификации в области администрирования и конфигурации какого-либо оборудования — основная задача сертификатов данного типа.
Поскольку вендоров на рынке представлено великое множество, сперва может показаться, что выбрать некое ограниченное множество действительно значимых сертификатов — задача непростая. В данном случае можно пойти по одному из двух путей:
1. Получить сертификат одного из «мастодонтов» рынка IT — к подобным можно отнести Cisco с сертификациями CCNA, CCNP и CCIE Security, Microsoft с сертификациями MCSA и MCSE, наконец, Red Hat c сертификациями RHCSA и RHCE. Два наиболее существенных плюса данного подхода: а) возможность получения работы в компании, выдавшей соответствующий сертификат; б) признание со стороны профессионального сообщества, как следствие — более высокий интерес со стороны большого числа компаний, находящихся в поиске нового сотрудника с определённым уровнем квалификации.
2. Получить узкоспециализированный сертификат — в качестве примера можно привести сертификат технического специалиста UserGate, аналогичный сертификат для специалиста по технологии ViPNet и так далее. Интерес к подобного рода сертификации обычно возникает в том случае, когда компании необходимо получить доступ к работе с продуктами некоторого вендора — для этого в штате выделяется сотрудник, который проходит необходимый обучающий курс, в результате чего компания достигает свою цель. Если говорить о получении подобного сертификата специалистом исключительно для себя, то в качестве одной из немногих возможных причин видится нацеленность на работу в компании, которой требуется технический специалист, знакомый с оборудованием конкретного вендора. В остальных случаях лучше будет присмотреться к предыдущему «пути».
В завершение хочется сказать о том, что, как и везде, «плохих», «ненужных» или «лишних» сертификатов в сфере ИБ нет — процесс обучения важен для сотрудника любого профиля, как важно и то, чтобы этот процесс был непрерывным. Но рынок, как известно, диктует свои правила, а значит путь ИБ-специалиста в некотором смысле предопределен.
Никита Мулаков
Руководитель направления аудита и консалтинга, Акрибия
Цифровые SSL сертификаты. Разновидности, как выбрать?
Существует достаточно много цифровых сертификатов, каждый из которых служит для своих целей. Самые распространенный тип сертификатов это естественно SSL сертификаты, которые также имеют несколько подвидов. Также существуют Code Signing сертификаты, Website Anti Malware Scanner сертификаты и Unified Communications сертификаты.
Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.
Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.
Начнем с самых распространенных SSL сертификатов.
SSL сертификаты самый распространенный на данный момент тип сертификатов в Интернет. Чаще всего они используются в интернет-магазинах, то есть на сайтах, где есть функция заказа и где клиент вводит свои персональные данные. Для того, чтобы эти данные в момент передачи из браузера на сервер невозможно было перехватить используется специальный протокол HTTPS, который шифрует все передаваемые данные.
Для того, чтобы активировать возможность работы протокола HTTPS как раз и нужны цифровые SSL сертификаты (также потребуется выделенный IP для конкретного сайта).
Что такое SSL сертификат?
SSL — это сокращение от Secure Socket Layer — это стандартная интернет технология безопасности, которая используется, чтобы обеспечить зашифрованное соединение между веб-сервером (сайтом) и браузером. SSL сертификат позволяет нам использовать https протокол. Это безопасное соединение, которое гарантирует, что информация которая передается от вашего браузера на сервер остается приватной; то есть защищенной от хакеров или любого, кто хочет украсть информацию. Один из самых распространенных примеров использования SSL — это защита клиента во время онлайн транзакции (покупки товара, оплаты).
Как получить SSL сертификат?
Самый простой и бесплатный способ — это использовать, так называемый, самоподписной сертификат (self-signed), который можно сгенерировать прямо на веб-сервере. К слову во всех самых популярных панелях управления хостингом (Cpanel, ISPmanager, Directadmin) эта возможность доступна по умолчанию, поэтому техническую сторону процесса создания сертификата мы сейчас опустим.
Плюс самоподписного сертификата — это его цена, точнее ее отсутствие, так как вы не платите ни копейки, за такой сертификат. А вот из минусов — это то, что на такой сертификат все браузеры будут выдавать ошибку, с предупреждением, что сайт не проверен.
То есть для служебных целей и для внутреннего использования такие сертификаты подходят, а вот для публичных сайтов, а тем более для сайтов, которые продают услуги, такие сертификаты противопоказаны. Посудите сами, хотели бы вы, чтобы ваш клиент при заказе услуги увидел вот такую ошибку на весь экран? Как показывает практика, большинство клиентов такая страничка вводит в ступор и отбивает желание продолжать заказ дальше.
Почему же браузеры выдают такое предупреждение для самоподписных сертификатов и как этого избежать? Чтобы ответить на этот вопрос потребуется немного рассказать про сами принципы работы SSL сертификатов.
По какому принципу работает SSL сертификат?
Итак для того, чтобы получить SSL сертификат самое первое, что нужно сделать, это сформировать специальный запрос на выпуск сертификата, так называемый (Certificate Signing Request). При формировании этого запроса вам будет задан ряд вопросов, для уточнения деталей о вашем домене и вашей компании. После завершения ваш веб сервер создаст 2 типа криптографических ключей — приватный ключ и публичный ключ.
Публичный ключ не является секретным и он помещается в запрос CSR.
Вот пример такого запроса:
——BEGIN CERTIFICATE REQUEST——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——END CERTIFICATE REQUEST——
Данные которые содержатся в этом ключе можно легко проверить с помощью сервисов CSR Decoder. Как пример: CSR Decoder 1 или CSR Decoder 2. Второй сервис выдает больше информации о CSR и проверяет ее на валидность, поле Signature в результатах проверки.
Если мы вставим такой запрос в форму для его расшифровки, то увидим, какие данные содержатся в публичном ключе.
CSR Information:
Common Name: tuthost.ua — доменное имя, которое мы защищаем таким сертификатом
Organization: TutHost — название организации, которой принадлежит домен
Organization Unit: Hosting department — подразделение организации
Locality: Kiev — город, где находится офис организации
State: Kiev — область или штат
Country: UA — двухбуквенный код, страны офиса.
Email: support@tuthost.com — контактный email технического администратора или службы поддержки
Важный момент — обратите внимание на поле Country — формат этого поля подразумевает только двухбуквенный код по стандарту ISO 3166-1, если вы не уверены в коде вашей страны, то проверить его можно например тут: Таблица ISO-3166-1. Я обращаю внимание на это поле, потому, что самая частая ошибка у наших клиентов при генерации запроса CSR — это неправильный код страны. И как следствие с такой CSR произвести выпуск сертификата невозможно.
После того как CSR сгенерирован вы можете приступать к оформлению заявки на выпуск сертификата. Во время этого процесса центр сертификации (CA — Certification Authority) произведет проверку введенных вами данных, и после успешной проверки выпустит SSL сертификат с вашими данными и даст возможность вам использовать HTTPS. Ваш сервер автоматически сопоставит выпущенный сертификат, со сгенерированным приватным ключем. Это означает, что вы готовы предоставлять зашифрованное и безопасное соединение между вашим сайтом и браузером клиентов.
Какие данные содержит в себе SSL сертификат?
Что такое центры сертификации (CA)?
Это организация, которая обладает правом выдачи цифровых сертификатов. Она производит проверку данных, содержащихся в CSR, перед выдачей сертификата. В самых простых сертификатах проверяется только соотвествие доменного имени, в самых дорогих производится целый ряд проверок самой организации, которая запрашивает сертификат. Об этом мы поговорим ниже.
Так вот, разница между самоподписными бесплатным и платными сертификатами, выданными центром сертификации как раз и заключается в том, что данные в сертификате проверены центром сертификации и при использовании такого сертификата на сайте ваш посетитель никогда не увидит огромную ошибку на весь экран.
Говоря в общем, SSL сертификаты содержат и отображают (как минимум одно из) ваше доменное имя, ваше название организации, ваш адрес, город и страницу. Также сертификат всегда имеет дату окончания и данные о центре сертификации, ответственного за выпуск сертификата. Браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: он не просрочен ли сертификат, потом он проверяет, выпущен ли сертификат известным ему центром сертификации (CA) используется ли сертификат на сайте, для которого он был выпущен.
Если один из этих параметров не проходит проверку, браузер отображает предупреждение посетителю, чтобы уведомить, что этот сайт не использует безопастное соединение SSL. Он предлагает покинуть сайт или продолжить просмотр, но с большой осторожностью. Это последнее, что вы должны увидеть ваши потенциальные клиенты.
Центров сертификации существует достаточно много, вот перечень самых популярных:
Comodo — работает с 1998 штабквартира в Jersey City, New Jersey, США.
Geotrust — основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, США
Symantec — бывший Verisign в состав которого входит и Geotrust. Купил всех в 2010 году.
Thawte — основан в 1995, продан Verisign в 1999.
Trustwave — работает с 1995, штабквартира Chicago, Illinois, США.
Как видим самый крупный игрок на рынке SSL сертификатов это Symantec, который владеет тремя крупнейшими центрами сертификации — Thawte, Verisgin и Geotrust.
Есть ли разница в каком центре сертификации заказывать сертификат?
Основное отличие между разными центрами сертификации — в цене сертификатов и в том, в каком количестве браузеров установлен их корневой сертификат. Ведь если в браузере нет корневного сертификата этого центра сертификации, то посетитель с таким браузером все равно получит ошибку при входе на сайт с сертификатом от такого центра.
Что касается перечисленных выше центров сертификации, то их корневые сертификаты установлены в, пожалуй, 99,99% всех существующих браузеров.
Важный момент — частенько у клиентов возникала ситуация, когда SSL сертификат на серверe установлен, но при заходе на сайт браузер все равно выдает ошибку. Такая ситуация может возникнуть или из-за отсутствия в файле ca-bundle.crt корневого сертификата центра выдавшего сертификат или из-за того, что корневой сертификат устарел. Корневые сертификаты также имеют свой срок действия (в браузерах они обновляются при обновлении браузера).
С июля 2010 года сертификационные центры перешли на использование ключей 2048bit RSA Keys, поэтому для корректной работы всех новых сертификатов необходимо устанавливать новые корневые сертификаты.
Если новые корневые сертификаты не установлены — это может вызвать проблемы с корректной установкой сертификата и распознаванием его некоторыми из браузеров.
Ссылки на странички центров сертификации, где можно скачать новые корневые сертификаты даны ниже.
Итак мы вплотную подошли к видам SSL сертификатов.
Какие виды SSL сертификатов существуют?
Между собой сертификаты отличаются свойствами и уровнем валидации.
Типы сертификатов по типу валидации
Сертификаты, подтверждающие только домен
Это самые простые сертификаты, это ваш выбор если сертификат вам нужен срочно, так как выпускаются они автоматически и моментально.
При проверке такого сертификата отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата.
Важный момент, что это письмо может быть отправлено только на так называемый approver email, который вы указываете при заказе сертификата. И к адресу approver email есть определенные требования, он должен быть либо в том же домене для которого вы заказываете сертификат, либо он должен быть указан в whois домена.
Если вы указываете email в том же домене, что и сертификат, то указывать любой emal тоже нельзя, он должен соответствовать одному из шаблонов:
admin@
administrator@
hostmaster@
postmaster@
webmaster@
Еще один Важный момент: иногда сертификаты с моментальным выпуском попадают на дополнительную ручную проверку Центром сертификации, сертификаты для проверки выбираются случайным образом. Так что всегда стоит помнить, что есть небольшой шанс, что ваш сертификат будет выпущен не моментально.
Сертификаты SSL с валидацией домена выпускаются, когда центр сертификации проверил, что заявитель имеет права на указанное доменное имя. Проверка информации об организации не проводится и никакая информация об организации в сертификате не отображается.
Сертификаты с валидацией организации.
В таком сертификате уже будет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов как правило от 3 до 10 рабочих дней, зависит от центра сертификации.
Процесс выдачи сертификатов OV
После получения запроса на выпуск сертификата с проверкой организации центр сертификации производит проверку, реально ли существует такая организация, как указано в CSR и принадлежит ли ей указанный домен.
Что проверяется в таких случаях?
У разных центров сертификации проверка несколько отличается, поэтому приведу общий список пунктов, которые могут быть проверены или запрошены:
Сертификаты с расширенной проверкой.
Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат.
Вот как это выглядит на сайте у Thawte.
Такие сертификаты обладают наибольшим уровнем доверия, среди продвинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.
Список того, что конкретно будут проверять такой же как и для сертификатов с проверкой организации.
EV сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций. Для выпуска необходимо 10-14 дней.
Вторая часть правил актуальная для центра сертификации и описывает критерии, которым центр сертификации должен соответствовать перед тем, как получить разрешение на выпуск EV сертификата. Она называется, EV правила аудита, и каждый год происходит проверка на соответствие этим правилам.
Типы SSL сертификатов по своим свойствам.
Обычные SSL сертификаты
Тут все понятно, это сертификаты, которые выпускаются автоматически и подтверждают только домен. Подходят для всех сайтов.
Цена: от 20$ в год
SGC сертификаты
Wildcard сертификаты
Нужны в том случае, когда вам кроме основного домена нужно обеспечить шифрование также на всех поддоменах одного домена. Например: есть домен domain.com и вам нужно установить такой же сертификат на support.domain.com, forum.domain.com и billing.domain.com
Совет: посчитайте количество поддоменов, на которые нужен сертификат, иногда бывает выгодней купить отдельно несколько обычных сертификатов.
Цена: от 180$ в год. Как видите, если у вас меньше 9 поддоменов, то дешевле купить обычный сертификат, хотя в использовании будет удобней один wildcard.
SAN сертификаты
EV сертификаты
Сертификаты c поддержкой IDN
Как выбрать самый дешевый сертификат?
У Geotrust самые дешевые SAN сертификаты. Сертификаты с валидацией только сайта, а также wildcard выгоднее всего у RapidSSL. EV сертификаты самые дешевые также у Geotrust. SGC сертификаты есть только у Thawte и Verisign, но у Thawte дешевле.
Чем еще отличаются сертификаты между собой
Полезные утилиты:
В следующих частях постараюсь рассказать про остальные виды сертификатов.