SSL-сертификат. Партнерский API Яндекс Маркета для модели FBS. Руководство разработчика

Внимание. Маркет постепенно перестает поддерживать XML. Поэтому мы рекомендуем переходить на JSON. Сейчас XML можно использовать, если добавить в запрос Content-Type: application/xml. Без этого будут ошибки.

Маркет выполняет запросы к магазину только при условии, что приложение магазина, принимающее запросы от Маркета, работает по протоколу HTTPS с использованием SSL-сертификата.

Магазин может использовать любой тип SSL-сертификата — как подписанный официальным центром сертификации, так и самоподписанный.

  1. Установите утилиту OpenSSL.

  2. Сгенерируйте приватный ключ с помощью команды openssl genrsa -out server.key 2048.

  3. Выполните запрос на сертификат с помощью команды: openssl req -new -key server.key -out server.csr.

  4. Укажите соответствующие данные в строках:

    Country Name (2 letter code) [AU]:
    State or Province Name (full name) [Some-State]:
    Locality Name (eg, city) []:
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:
    Organizational Unit Name (eg, section) []:
    Common Name (eg, YOUR name) []:
    Email Address []:
    Please enter the following 'extra' attributes to be sent with your certificate request
    A challenge password []:
    An optional company name []:

    Обратите внимание:

    • Самая важная строка для заполнения — Common Name, в которой необходимо указать доменное имя магазина.

    • Для сертификата, подписанного центром сертификации:

      • в строке Country Name название страны должно быть указано в соответствии со стандартом ISO 3166;

      • должен быть указан доменный адрес электронной почты либо адрес электронной почты администратора сайта.

    • Для самоподписанного сертификата указывать данные в строках Email Address, A challenge password и An optional company name

      необязательно.

Дальнейшие действия, если магазин планирует использовать сертификат, подписанный центром сертификации:

  1. Передайте файл server.csr, расположенный в директории /home/login/, на подпись в организацию, выпускающую SSL-сертификаты.

  2. Установите сертификат, полученный от центра сертификации, на свой веб-сервер согласно инструкции к нему.

Дальнейшие действия, если магазин планирует использовать самоподписанный сертификат:

  1. Сгенерируйте самоподписанный сертификат с помощью команды

    openssl req -new -x509 -days 365 -key server. key -out server.crt.

    Обратите внимание на параметр -days — срок действия сертификата в днях. Вы можете указать любой срок действия.

  2. Получите слепок SHA1 с помощью команды openssl x509 -in server.crt -sha1 -noout -fingerprint.

  3. На странице Настройки → Настройка API личного кабинета магазина нажмите изменить напротив параметра SHA1 fingerprint и введите в поле слепок сертификата.

  4. Установите самоподписанный сертификат на свой веб-сервер согласно инструкции к нему.

При необходимости сертификат можно сменить. Если самоподписанный сертификат сменяется сертификатом, подписанным центром сертификации, дополнительных действий не требуется. Если самоподписанный сертификат сменяется другим самоподписанным сертификатом, в личном кабинете необходимо указать новый слепок SHA1.

Проверка сертификата магазина новой цифровой подписью начинается сразу же после смены сертификата.

В случае проблем с сертификатом в логах запросов будет указана ошибка типа SSL_ERROR.

Была ли статья полезна?

SSL-сертификат для ЮMoney (Яндекс Деньги): настройка и использование

Любой серьезный интернет-магазин обязательно должен иметь SSL-сертификат. Почему? По той простой причине, что от этого зависит безопасность сайта, а также сохранность личной информации пользователей. Ведь абсолютное большинство интернет-магазинов позволяют проводить платежи через сайт – и чтобы эти платежи обезопасить, обычно и осуществляют переход с http на https.

Чтобы принимать платежи онлайн, многие владельцы интернет-магазинов подключают сервис ЮKassa (Яндекс Касса) – популярный платежный шлюз, позволяющий вести работу с различными валютами, в том числе и с ЮMoney (Яндекс Деньги). Оплата ЮMoney проста, понятна рядовым пользователям, активно совершающим покупки в сети. И ЮMoney, и ЮKassa для интеграции с сайтом требуют обязательного наличия SSL-сертификата.

В данной статье мы оставим в стороне ЮКассу и рассмотрим только процесс подключения и настройки SSL для ЮMoney (Яндекс Денег).

Как происходит подключение к ЮMoney (Яндекс Деньгам)?

Чтобы принимать платежи через платежную систему ЮMoney, вам необходимо будет подключить свой сайт к ней. В таком случае ваши покупатели смогут переводить оплату напрямую на ваш счет со своих виртуальных кошельков. 

Процесс подключения к ЮMoney состоит из трех этапов:

  1. Необходимо перейти на сайт ЮMoney.
  2. Пройти пошаговый процесс настройки формы.
  3. Воспользоваться данными, полученными от платежной системы.

Чтобы создать форму для приема платежей, следует перейти на страницу https://yoomoney.ru/quickpay/form. На странице вам понадобится пройти регистрацию, а также акцептировать договор, который затем нужно будет отправить в Яндекс.

Далее, если все пройдет успешно, вы получите специальную техническую анкету, в которой вам нужно будет ввести данные вашего интернет-магазина.

Обратите внимание на то, что в анкете в полях paymentAvisoURL и checkURL требуется указывать адрес, начинающийся с «https://». Соответственно, чтобы подключить ЮMoney, вам необходимо иметь SSL-сертификат. Приобрести EV-сертификат, который подходит интернет-магазинам, совершающим онлайн транзакции у себя на сайте, можно в компании ЛидерТелеком по выгодной цене.

Безусловно, можно обойтись и без SSL для ЮMoney, однако в таком случае вы не сможете автоматически принимать платежи на своем сайте. Если вы по каким-либо причинам не готовы подключить SSL-сертификат (ваш бизнес находится в зачаточном состоянии, и вы пока не можете позволить себе покупку SSL-сертификата), то в таком случае вы можете подключить сторонний платежный шлюз – к примеру, Робокассу или Prochange. Однако лучше всего, конечно, озаботиться покупкой SSL-сертификата заранее, чтобы потом не пришлось столкнуться с проседанием трафика при переходе с http на https, а также с проблемами склейки URL. Ведь вы всегда можете приобрести самый доступный вариант SSL-сертификатов: PositiveSSL.

Он позволит вам защитить ваш домен с минимальными затратами.

После того, как подключение ЮMoney будет одобрено, вам останется лишь расположить форму приема платежей на сайте. Этот вопрос является техническим (зависит от используемой CMS, желаемым позиционированием формы оплаты и т.д.), поэтому в данной статье он рассматриваться не будет. Сначала вам нужно будет провести тестовый платеж, после чего уже перевести форму в рабочий режим.

SSL для ЮMoney: лучший способ защитить свой интернет-магазин!

Покупки в сети должны быть безопасными как для клиентов, так и для владельцев интернет-магазинов. SSL-сертификат – то, чему доверяют многочисленные пользователи. Именно по этой причине необходимо заранее приобрести SSL-сертификат для своего ресурса, чтобы принимать на нем платежи с помощью ЮMoney. Если вы хотите предложить своим посетителям лучший сервис, обязательно побеспокойтесь о заблаговременной покупке SSL-сертификата в компании ЛидерТелеком.


Защита от недоверенных сертификатов. Справочная информация

В комплексной системе безопасности Protect Яндекс.Браузер проверяет сертификаты сайтов. Яндекс.Браузер предупреждает, если сайт не может обеспечить безопасное шифрование данных из-за проблем с сертификатом.

  1. Зачем сайтам сертификат
  2. Чем опасен недоверенный сертификат
  3. Заблокированные сайты с недоверенными сертификатами
  4. Возможные причины блокировки сайтов
  5. Если автор сертификата неизвестен
  6. Если сертификат установлен программой
  7. Сообщить о фишинге

Ваши личные данные и платежная информация должны быть защищены, когда вы отправляете их на сайт. Веб-сайты используют протокол HTTPS для безопасного соединения. Он активирует алгоритм асимметричного шифрования, при котором данные шифруются с помощью открытого ключа и расшифровываются с помощью закрытого ключа. Для каждого сеанса Яндекс.Браузер регенерирует закрытый ключ и передает его на сайт, а также принимает меры предосторожности для предотвращения кражи.

Однако, если вы окажетесь на фишинговом веб-сайте, он может получить закрытый ключ и затем расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные специальными удостоверяющими центрами. Сертификат гарантирует, что ключи принадлежат владельцу сайта.

Вы можете оказаться на фишинговом сайте, либо ваши данные не получат необходимой защиты на оригинальном сайте (например, если срок действия сертификата сайта истек). В результате хакеры могут:

  • Перехватить или заменить ваши личные данные и прочитать вашу переписку.

  • Получите ваши платежные данные (номер карты, имя владельца карты, срок действия и CVV2) и используйте их для кражи денег с вашего счета.

Если сайт не может гарантировать безопасное шифрование из-за проблем с сертификатом сайта, страница сайта не откроется и вы увидите в адресной строке Поисковые запросы можно вводить и Яндекс Браузер поймет что тебе нужно.

«}}»> и предупреждение о том, что безопасное соединение установить не удалось. В этом случае вы можете решить либо не посещать сайт, либо добавить сертификат в список доверенных.

Внимание. Сделайте это, если вы абсолютно уверены, что сертификат заслуживает доверия. В противном случае хакеры могут получить доступ к вашим личным данным и онлайн-платежам.

Примечание. Если вы не можете установить безопасное соединение с сервисами Яндекса из-за ошибки ERR_CERT_AUTHORITY_INVALID или ERR_CERT_DATE_INVALID, значит сертификат отсутствует в операционной системе. Обновите Windows или импортируйте сертификаты вручную. Дополнительные сведения см. в разделах Ошибка ERR_CERT_AUTHORITY_INVALID и Ошибка ERR_CERT_DATE_INVALID.

Яндекс.Браузер блокирует сайты со следующими проблемами с сертификатом:

Центр сертификации неизвестен

Вы увидите сообщение о том, что Яндексу не удалось установить безопасное соединение. Хакеры могут попытаться украсть ваши данные (например, пароли, сообщения или номер вашей банковской карты)».

Дополнительные сведения см. в разделе Если центр сертификации неизвестен.

Сертификат был установлен специальной программой

Вы увидите сообщение «Вы пытались зайти на сайт example.com, но их сертификат не является доверенным. Сертификат выдан центром сертификации, с которым Яндекс не знаком; однако ваша ОС считает его заслуживающим доверия…» .

Дополнительные сведения см. в разделе Если сертификат был установлен программой.

Неверный адрес сайта

Вы увидите сообщение «Не удалось подтвердить, что это сервер example.com. Сертификат безопасности применяется к example1.com. Этот сервер может быть неправильно настроен или кто-то пытается перехватить ваши данные».

Это означает, что сохраненный на сервере сертификат безопасности не относится к тому сайту, который вы открыли. Вероятно, вы попали на фишинговый сайт. В этом случае хакеры могут перехватить ваши данные.

Самозаверяющий сертификат

Вы увидите сообщение «Не удалось подтвердить, что это сервер example. com. Операционная система компьютера не доверяет его сертификату безопасности. Этот сервер может быть неправильно настроен или кто-то пытается перехватить ваши данные».

Это означает, что сайт выдал себе сертификат. Это вредоносное ПО, иначе хакеры могут перехватить ваши данные. Дополнительные сведения см. в разделе Самозаверяющий сертификат.

Ненадежный корневой сертификат

Вы увидите сообщение «Не удалось подтвердить, что это сервер example.com. Операционная система компьютера не доверяет его сертификату безопасности. Этот сервер может быть неправильно настроен или кто-то пытается перехватить ваши данные».

Это означает, что центр, подписавший сертификат, не заслуживает доверия и не может гарантировать подлинность сайта. Это вредоносное ПО, иначе хакеры могут перехватить ваши данные. Дополнительные сведения о корневых сертификатах см. в разделе Корневой сертификат.

Срок действия сертификата истек

Вы увидите сообщение «Не удалось подтвердить, что это сервер example. com. Срок действия сертификата безопасности истек <...> дней назад. Этот сервер может быть неправильно настроен или кто-то пытается перехватить ваши данные. Пожалуйста, убедитесь, что на вашем компьютере установлено <текущее время> Если оно неверное, измените его и обновите страницу».

Если срок действия сертификата истек, отправляемые данные не будут зашифрованы, поэтому злоумышленники смогут их перехватить.

Сертификат отозван

Вы увидите сообщение «Обычно сайт example.com шифрует ваши данные. Однако на этот раз он прислал подозрительный ответ на запрос от Яндекс.Браузера. Возможно, другой сайт пытается выдать себя за example.com, или соединение Wi-Fi было потеряно. Ваши данные по-прежнему в безопасности: Яндекс.Браузер разорвал соединение еще до обмена данными. Невозможно перейти на сайт example.com, так как его сертификат отозван. Это могло быть вызвано сетевой ошибкой или атакой на сайт. Возможно, через какое-то время он снова появится».

Это означает, что сертификат сайта был скомпрометирован и отозван. В этом случае отправляемые данные не будут зашифрованы, поэтому злоумышленники смогут их перехватить.

Устаревшее шифрование

Вы увидите сообщение о том, что «Вы пытаетесь связаться с сервером например.com, но его сертификат был подписан с использованием ненадежного алгоритма (SHA-1 и т.д.). Это означает, что учетные данные безопасности и сам сервер могут быть поддельными. Вы можете иметь дело с хакерами».

Если сервер использует устаревший и ненадежный алгоритм шифрования, хакеры могут перехватить ваши данные. Существует значительная вероятность того, что вы попали на фишинговый сайт.

Шифры не поддерживаются

Вы увидите сообщение о том, что «Веб-сайт example.com отправил неверный ответ».

Это означает, что Яндекс.Браузер не может установить HTTPS-соединение, так как сайт использует шифры, не поддерживаемые Яндекс. Браузером. В этом случае отправляемые данные не будут зашифрованы, поэтому злоумышленники смогут их перехватить.

Ключ сертификата не соответствует закрепленному ключу

Вы увидите сообщение «Обычно сайт example.com шифрует ваши данные. Однако на этот раз он прислал подозрительный ответ на запрос от Яндекс.Браузера. Возможно, другой сайт пытается выдать себя за example.com, или соединение Wi-Fi было потеряно. Ваши данные по-прежнему в безопасности: Яндекс.Браузер разорвал соединение еще до обмена данными. Невозможно перейти на сайт example.com, так как его сертификат отозван. Это могло быть вызвано сетевой ошибкой или атакой на сайт. Возможно, через какое-то время он снова появится».

Это означает, что ключ корневого сертификата не соответствует ключу веб-сайта. Хакеры могут попытаться заменить корневой сертификат. Тогда они могут перехватить ваши данные. Дополнительные сведения о закреплении (связывании) ключа см. в разделе Закрепление открытого ключа HTTP.

Данные не могут быть зашифрованы через HSTS

Вы увидите сообщение «Обычно сайт example.com шифрует ваши данные. Однако на этот раз он прислал подозрительный ответ на запрос от Яндекс.Браузера. Возможно, другой сайт пытается выдать себя за example.com, или соединение Wi-Fi было потеряно. Ваши данные по-прежнему в безопасности: Яндекс.Браузер разорвал соединение еще до обмена данными. Не могу перейти на сайт example.com, так как он использует протокол HSTS. Это могло быть вызвано сетевой ошибкой или атакой на сайт. Возможно, через какое-то время он снова появится».

Это означает, что Яндекс.Браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен протокол HSTS. Отсутствие шифрования может быть признаком хакерской атаки. В этом случае хакеры или вредоносные программы могут перехватить ваши данные.

В данном случае сертификат был установлен сетевым администратором или случайным лицом. Вы увидите предупреждение:

Вы можете либо отказаться от посещения веб-сайта, либо добавить сертификат в список доверенных, нажав в окне Подробности, а затем Сделать исключение для этого сайта. Сертификат останется в списке доверенных на 30 дней, после чего вам снова придется делать исключение.

Внимание. Нажмите Сделать исключение для этого веб-сайта, только если вы уверены, что сертификат заслуживает доверия. В противном случае хакеры могут получить доступ к вашим личным данным.

Если вы не уверены в надежности сертификата, но хотите посетить сайт, примите следующие меры безопасности:

  • Для домашних компьютеров. Обновите антивирус и проверьте компьютер на наличие вредоносных программ. Если ваш антивирус обнаружит и удалит сертификат, установленный хакерами, вы больше не увидите предупреждение в Яндекс.Браузере. Если ваш антивирус не удалил подозрительный сертификат, вы можете удалить его вручную.

    Внимание. Будьте осторожны: если сертификат был установлен законной программой (а не вредоносной программой), его удаление может привести к сбою в работе системы.

  • Для рабочих компьютеров. Обратитесь к системному администратору, чтобы удалить подозрительный сертификат. Они удалят все сертификаты, которые они не установили. Если сертификат был установлен администратором, вы можете нажать Перейти на сайт. Но помните, что после этого администратор сможет просматривать вашу личную информацию и электронные платежи.

Антивирусы, блокировщики рекламы, мониторинг сайта и другие программы могут заменить сертификат сайта на свой. Для декодирования трафика они генерируют собственный корневой сертификат и устанавливают его в операционной системе, помечая как доверенный.

Однако сертификат, установленный специальной программой, нельзя считать заслуживающим доверия, так как он не принадлежит доверенному удостоверяющему центру. Это приводит к следующим угрозам:

  • Ваши данные могут стать доступными для неизвестных лиц — разработчиков специальных программ.

  • Сертификат мог быть установлен вредоносным ПО, выдающим себя за специальную программу. Браузеры не имеют возможности проверять подлинность таких сертификатов.

Яндекс.Браузер предупреждает о следующих проблемах:

Зайти на сайт:

  1. Узнать какая программа заменила сертификат. Эту информацию можно найти, нажав соответствующую ссылку на странице предупреждения.

  2. Решите, готовы ли вы доверять свою личную информацию эмитенту сертификата:

    • Если да, нажмите Перейти на веб-сайт.

    • Если не уверены, отключите проверку HTTPS-соединения в программе. Вы можете воспользоваться инструкциями для следующих программ:

      • Антивирус Лаборатории Касперского

      • ESET NOD32

      • Dr.Web

      • который не создает свои собственные сертификаты, поэтому вам не нужно ничего отключать для него).

      Внимание. Если вы отключите проверку HTTPS, это не означает, что вы не защищены. Яндекс.Браузер самостоятельно проверяет загружаемые вами файлы на безопасность, блокирует вредоносные страницы и баннеры, использует расширенную защиту для страниц банков и платежных систем.

      Если Яндекс.Браузер продолжает предупреждать вас о подозрительном сертификате даже после отключения проверки HTTPS, а программа, установившая сертификат, вам не нужна, попробуйте временно закрыть эту программу.

Если вы столкнулись с подозрительным сайтом, напишите нам об этом через форму обратной связи.

Связаться со службой поддержки

Была ли статья полезной?

Москва будет выдавать сертификаты TLS российским веб-сайтам • Реестр

Москва создала собственный центр сертификации для выдачи сертификатов TLS россиянам, пострадавшим от санкций или иным образом наказанным за вторжение президента Путина в Украину.

В уведомлении на едином правительственном портале государственных услуг говорится, что сертификаты будут доступны для российских веб-сайтов, которые не смогут обновить или получить сертификаты безопасности в результате действия западных санкций и отказа организаций поддерживать российских клиентов.

Эти сертификаты в первую очередь полезны для обеспечения безопасных HTTPS-соединений. Доставка сертификатов обещается в течение пяти дней с момента запроса.

Портал ничего не говорит о том, какие браузеры будут принимать сертификаты. Это очень важный вопрос, потому что, если браузеры не распознают центр сертификации, выдавший сертификат, или не доверяют ему, безопасное соединение, как правило, невозможно. Регистр не может себе представить, что кто-либо из разработчиков основных браузеров бросится заставлять эти российские сертификаты работать в своих приложениях.

У

россиян есть местная альтернатива. Яндекс, национальный аналог Google, завоевал 16-процентную долю местного рынка со своим YaBrowser, что намного меньше, чем 55-процентная доля атрибутов Stat Counter для Google Chrome.

Если Яндекс признает российские сертификаты и сможет быстро обновить пользователей и выиграть еще десятки миллионов, планы России могут рухнуть. В качестве бонуса для Путина кремлевские шпионы довольно легко перехватывают, расшифровывают и отслеживают соединения, зашифрованные с использованием сертификатов, выпущенных правительством. Чем больше веб-сайтов использует выданные в Москве сертификаты, тем больше соединений могут незаметно отслеживать агенты Путина.

Тем временем считается, что за недавними сбоями в работе украинских операторов связи стоит Россия. Дуг Мэдори, директор по интернет-анализу компании Kentik, занимающейся наблюдением за сетью, предложил следующий анализ:

.

Большие отключения сегодня в #Украине️.

Укртелеком (AS6849) отключен по всей стране в 9:35 UTC (11:35 по местному времени) в течение ~ 40 минут.

Triolan (AS13188) недоступен по всей стране более 12 часов из-за сообщения о кибератаке. Все еще почти полностью офлайн.

Визес от @gatech_ioda и @kentikinc: pic.twitter.com/v1wmKsR7kE

— Дуг Мэдори (@DougMadory) 10 марта 2022 г.

Forbes сообщил, что украинский интернет-провайдер Triolan объяснил свои отключения парой кибератак на его инфраструктуру.

  • Конфликт в Украине мешает восстановлению хрупкой цепочки поставок
  • Sony Interactive Entertainment забирает PlayStation из России
  • Вторжение в Украину: нам следует подумать об интернет-санкциях, говорит бывший генеральный директор ICANN
  • Члены правления Huawei в Великобритании уходят в отставку из-за молчания о вторжении в Украину

Россия, похоже, тоже нуждается в некоторой защите, потому что организации, использующие имя и иконографию коллектива хактивистов Anonymous (это EUTNAIOA), утверждают, что взломали российский регулятор телекоммуникаций и СМИ Роскомнадзор и украли 820 ГБ данных из одного из его штатов. офисы.

В сообщении описывается, что данные состоят из 364 000 файлов, 529 ГБ из которых, по-видимому, в основном представляют собой электронную почту, с которой, как предупредил EUTNAIOA, следует обращаться осторожно, поскольку вложения содержат вредоносное ПО, а остальные представляют собой файлы базы данных, в которых подробно описаны юридические расследования и вопросы управления персоналом.