Сертификаты ТЦИ

Какие сертификаты выпускает ТЦИ
Как выбрать метод шифрования
Как настроить установленный SSL-сертификат на хостинге
Что делать, если сайт отмечен как небезопасный при наличии валидного сертификата

Какие сертификаты выпускает ТЦИ

Технический Центр Интернет — первый отечественный Удостоверяющий центр, выпускающий SSL-сертификаты на коммерческой основе. ТЦИ выпускает сертификаты с методами шифрования ГОСТ и ECDSA. Оба метода очень похожи между собой и имеют более высокую скорость шифрования по сравнению с RSA, но технически имеют различия в математической модели криптографических параметров.

Для заказа доступны только сертификаты уровня DV — с базовой проверкой владения доменом при помощи размещения TXT-записи в зону домена. Выпуск таких сертификатов может занимать от нескольких минут до нескольких часов.

Если требуется защитить не только домен, но и все его поддомены одного уровня, то в этом случае подойдет SSL-сертификат от ТЦИ с опцией Wildcard.

Как выбрать метод шифрования

SSL-сертификаты ТЦИ могут шифровать данные используя криптоалгоритмы ECDSA или ГОСТ. Выбор алгоритма шифрования происходит на первом шаге заказа. Для заказа доступны сертификаты со следующими параметрами:

• ТЦИ ECDSA
• ТЦИ ECDSA Wildcard
• ТЦИ ГОСТ
• ТЦИ ГОСТ Wildcard

В процессе заказа пара CSR и приватный ключ будут сгенерированы автоматически с выбранным криптоалгоритмом и предоставлены вместе с файлами сертификата после завершения процесса выпуска.

Как настроить установленный SSL-сертификат на хостинге

В настоящее время SSL-сертификаты от ТЦИ совместимы с версиями TLS 1.2, 1.1. Совместимость с версией 1.3 находится в процессе реализации.

Перед настройкой убедитесь, что сертификат установлен на хостинг. Для этого можно свериться с рекомендациями, приведенными в статье.

На хостинге можно управлять версиями TLS только при подключенном выделенном IP. Чтобы подключить и настроить выделенный IP, воспользуйтесь нашей инструкцией.

После заказа выделенного IP адреса и его подключения к хостингу появится возможность управлять версиями TLS. Для отключения TLS 1.3 необходимо в панели управления хостингом перейти в раздел «Управление сервером» и найти настройку «TLS-шифрование». Кликнув на выпадающее меню, снимите галочку с пункта TLS 1.3 и нажмите кнопку «Применить».

После выполнения этой настройки сайт будет корректно открываться с использованием защищенного соединения, установленного при помощи SSL-сертификата ТЦИ.

Если после выполнения всех действий в браузере все еще будет отображаться ошибка, проверьте настройки браузера по инструкции.

Что делать, если сайт отмечен как небезопасный при наличии валидного сертификата

Соединение по https поддерживается только двумя российскими браузерами — Яндекс Браузер и Atom. Рассмотрим настройку на примере Яндекс Браузера.

Если браузер не настроен, при посещении сайта появится ошибка ERR_SSL_VERSION_OR_CIPHER_MISSMATCH

Чтобы браузер корректно открывал сайты, которые используют для шифрования отечественный SSL-сертификат, необходимо выполнить следующие настройки:

1. Скачайте дистрибутив КриптоПро CSP с официального сайта и установите, следуя подсказкам. На одном из этапов потребуется отметить галочкой установку Яндекс Браузера. После ее завершения перезапустите браузер.

2. Браузер сообщит о появлении нового плагина, который необходимо включить.

Откройте настройки браузера и перейдите в раздел «Расширения».

Перейдите в подраздел «Из других источников» и активируйте тумблер КриптоПро.

3. После установки КриптоПро установите корневой сертификат ТЦИ ГОСТ или ТЦИ ECDSA, предварительно скачав его с официального сайта ТЦИ.

Далее перейдите в системные настройки браузера и откройте управление сертификатами.

Перейдите во вкладку «Доверенные корневые центры сертификации» и нажмите кнопку «Импорт».

Следуя подсказкам мастера импорта, загрузите ранее скачанный корневой сертификат. Важно, чтобы сертификат был размещен в категории «Доверенные корневые центры сертификации», иначе вы не сможете посещать сайты, использующие SSL-сертификат ТЦИ.

Подтвердите установку сертификата.

После успешного импорта убедитесь, что сертификат присутствует в списке доверенных сертификатов в браузере. В случае с ECDSA сертификат будет называться TCI ECDSA ROOT A1.

4. После выполнения вышеуказанных действий необходимо включить возможность установки защищенного соединения при помощи сертификатов ГОСТ. Для алгоритма шифрования ECDSA специальных настроек включать не нужно.

Для этого откройте настройки браузера, перейдите к системным настройкам и отметьте галочкой пункт «Подключаться к сайтам, использующим шифрование по ГОСТ».

При первом открытии сайта с типом шифрования ГОСТ может отобразиться предупреждение, которое необходимо принять единожды, после чего все другие сайты, использующие шифрование по ГОСТу, будут открываться корректно, не запрашивая разрешения каждый раз.