🐹 SSL: Что это такое протокол SSL и SSL-сертификат?

Содержание:

1. Введение.
2. Что такое SSL протокол.
3. Что внутри SSL-сертификата.
4. Доверенные и недоверенные сертификаты.
5. Кому не обойтись без SSL-сертификата.
6. Типы SSL-сертификатов.
7. Выбор цифровой подписи.
8. Отличия платных от бесплатных сертификатов.
9. Получение и установка SSL-сертификата.
10. Бесплатный сертификат Let’s Encrypt.
11. Как выбрать сертификат для сайта.
12. Оригиналы источников информации.


1. Введение.

Безопасность информации в Сети — один из основных вопросов, на который должны обращать пристальное внимание владельцы сайтов. В мире стремительно развивающихся кибер-угроз им нужно чётко понимать, как предотвратить утечку данных или защитить свой ресурс от доступа к нему третьим лицам.

Современным стандартом безопасности сайтов стала установка SSL-сертификатов.

2. Что такое SSL протокол.

Прежде чем перейти к пункту о том, зачем сайту нужен SSL сертификат, стоит обозначить понятие самого протокола SSL.

SSLуровень защищенных сокетов» / Secure Sockets Layer) — криптографический протокол, разработанный компанией Netscape Communications для повышения безопасности в Сети. Протокол SSL шифрует соединение между пользовательским браузером и web-сервером. Вся информация, которая передается между ними, остается приватной и не попадает в третьи руки, что имеет большое значение при проведении финансовых операций. Кроме того, сайты с защищенным соединением имеют преимущества перед незащищенными ресурсами в поисковой выдаче. Он является гарантией безопасного соединения между пользовательским браузером и ресурсом.

SSL-cертификат представляют собой электронный документ (подпись), содержащий информацию о домене, включая его название, адрес и юридические данные в случае, если ресурсом владеет юрлицо. Адреса сайтов с SSL-cертификатом начинаются с «https».

Протокол HTTPS значительно расширил возможности обеспечения безопасности данных HTTP.

Если на сайте установлен SSL, то все данные передаются по HTTPS — защищенному варианту протокола HTTP. Он зашифровывает данные пользователя и переправляет их владельцу сайта через транспортный протокол TCP. Другими словами, вся информация, передаваемая пользователем, скрыта шифрованием от третьих лиц: операторов, администраторов Wi-Fi и провайдеров.

Как работает SSL-протокол:

Как известно, основой всех методов кодирования является ключ, который помогает зашифровать или прочитать информацию.

SSL-протокол использует ассиметричный шифр с двумя видами ключей:

  1. Публичный. Это собственно и есть SSL-сертификат. Он зашифровывает данные и используется при передаче пользовательской информации серверу. Например, посетитель вводит на сайте номер своей банковской карточки и нажимает на кнопку «Оплатить».
  2. Приватный. Необходим для раскодирования сообщения на сервере. Он не передается вместе с информацией, как в случае с публичным ключом, и всегда остается на сервере.

Чтобы сайт обрабатывал такие соединения, его владельцу нужен SSL-сертификат. Это своеобразная цифровая подпись, которая индивидуальна для каждой платформы.

3. Что внутри SSL-сертификата.

SSL-сертификат может содержать следующую важную информацию:

  • домен площадки, на которую устанавливается сертификат;
  • название компании-владельца;
  • страну, город прописки компании;
  • срок действия SSL-сертификата;
  • информация о удостоверяющем центре.

4. Доверенные и недоверенные сертификаты.

Главным источником SSL-сертификатов служат доверенные центры сертификации или удостоверяющие центры — Certification authority (CA). Это организации, имеющие неоспоримый авторитет на рынке IT-услуг и пользующиеся известным открытым криптографическим ключом. В браузерах их список обычно можно посмотреть в разделе «Доверенные корневые центры сертификации».

Цифровая подпись, заверенная сертификатом такого центра, является доказательством подлинности компании, которой принадлежит доменное имя, и обуславливает право владельца законно использовать секретный ключ. Она называется доверенной.

SSL-сертификат от крупного центра — не всегда гарантия отсутствия проблем для сайта.

К недоверенным подписям относятся:

  1. Самоподписанный сертификат, который владелец сайта выдает себе сам. Он также обеспечивает безопасность соединения, но при этом не является гарантией подлинности компании. В этом случае браузер будет предупреждать посетителя, что SSL не надежен.
  2. Сертификат, который подписан недоверенным центром. В этом случае ресурс будет считаться проверенным, однако «проверяющий» остается под сомнением. Обычно такие центры продают сертификаты абсолютно всем, не проверяя подлинность фирмы.
  3. Цифровая подпись, выданная центром, который потерял доверие. К этому разряду относятся, например, SSL-сертификаты от удостоверяющего центра Symantec, которую Google обвинил в выдаче большого числа неликвидных сертификатов. В браузере Google Chrome 70 была прекращена поддержка сертификатов, выпущенных этой компаний и аффилированными с ней центрами GeoTrust и Thawte до 1 декабря 2017 года.

5. Кому не обойтись без SSL-сертификата.

Предоставляя данные о своих банковских картах, контактную и личную информацию, пользователь должен быть уверен, что они не попадут в руки третьего лица. Поэтому получение SSL-сертификата — важный пункт для интернет-магазинов, а также банков, платежных систем и площадок, где требуется создание аккаунта.

Для SEO-специалистов, которые учитывают малейшие аспекты продвижения, также рекомендуется подключение подписи. Хотя на данный момент этот фактор слабо влияет на ранжирование страниц.

А вот чисто информационным ресурсам — блогам, визиткам и личным страницам можно обойтись и без сертификации.

6. Типы SSL-сертификатов.

SSL-сертификаты делятся не несколько видов в зависимости от количества доменных и субдоменных имен, на которые они будут устанавливаться, а также от способа проверки платформы.

По методу проверки существует три основных варианта:

  1. Domain Validation (DV) — это подтверждение домена. Также он кодирует данные для их передачи с использованием HTTPS. Он доступен не только для юридических, но и физических лиц и устанавливается, как правило, в течение трех часов.
  2. Organization Validation (OV) — помимо защиты данных он является гарантией подлинности компании, которой принадлежит. Выдается организациям, подтверждающим свой контактный номер, в течение трех дней. Выдается после предъявления гарантийного письма.
  3. Extended Validation (EV) похож на предыдущий вариант, однако проверке подлежат не только коммерческая деятельность фирмы, но и налоговая. Наличие сертификата с расширенной проверкой подтверждает «зелёная» адресная строка — выделение адреса дополнительной зелёной рамкой (Green Bar). Такой сертификат можно получить от 5 дней до 2 недель.

Помимо этого, существуют дополнительные типы SSL:

  1. Wildcard SSL — понадобится для того, чтобы защитить большое количество субдоменных имен в корне одного домена.
  2. Unified Communications (UC) или Subject Alternative Name (SAN) — способен взять под свою защиту не только множество субдоменов, но и доменов как внешних, так и внутренних.
  3. Server-Gated Cryptography (SGC) — поддерживает 40-битные расширения, что пригодится для операционных систем и браузеров старого образца.
  4. CodeSigning (CS) — сертификаты для программных продуктов, которые позволяет пользователю безопасно скачивать программное обеспечение с сайтов разработчиков.

7. Выбор цифровой подписи.

Какой SSL-сертификат выбрать, в первую очередь, зависит от владельца ресурса. Для физических лиц подойдет тип Domain Validation (DV), который является подтверждением права на владение доменным именем.

Для компаний дело обстоит несколько сложнее:

  1. Если это сайт-визитка, цель которого — проинформировать о деятельности организации, то можно установить DV SSL. Он предотвратит появление всплывающего в браузере окна с информацией о небезопасности площадки и надежно закодирует данные. Обычно предоставляется бесплатно.
  2. Ресурсы, которые связаны с транзакциями и другими видами доступа к деньгам, должны подключить EV подпись. Она подтвердит подлинность компании, а в браузерной строке появится полоска зеленого цвета с названием фирмы. Это касается банков, СМИ, платежных систем.
  3. Интернет-магазины, форумы и благотворительные платформы должны позаботиться об установке OV SSL. Такие сайты практически не находятся в поле зрения злоумышленников. Однако пользователи захотят удостовериться в подлинности компании, где они планируют сделать заказ или куда собираются вложить свои деньги. SSL-сертификаты с проверкой организации предоставляются только платно.

8. Отличия платных от бесплатных сертификатов.

  1. Срок их действия. Бесплатные сертификаты действуют сравнительно недолго и требуют постоянного перевыпуска. Например, популярный сертификат Let`s Encrypt нужно заново выпускать каждые три месяца.
  2. Уровень гарантий. Удостоверяющий центр, выпускающий бесплатный сертификат, не несет ответственности за добросовестность ресурса, где тот установлен. Платные цифровые подписи (OV) напротив, дают возможность проверить владельца сайта. Наличие таких гарантий формируют высокое доверие к сайту у пользователей и в поисковых системах.
  3. Наличие финансовых гарантий. В случае утечки пользовательских данных с ресурса, где установлен платный SSL-сертификат, пострадавшая сторона получит компенсацию от центра сертификации. Сумма финансовых гарантий зависит от конкретного вида сертификата.
  4. Установка бесплатных сертификатов связана с решением ряда технических задач, что требует определенных навыков.
  5. Бесплатные сертификаты, тем не менее, обладают ключевым преимуществом — доступностью. Их часто используют низкобюджетные проекты, стартапы и частные лица, которые не могут позволить себе платные.

9. Получение и установка SSL-сертификата.

Чтобы получить цифровую подпись, необходимо зайти на сайт центра сертификации и предоставить необходимую информацию для данного типа цифровой подписи.

Например, для получения DV SSL достаточно предоставить доменное имя, email и номер телефона. Для других разновидностей могут понадобится документы, которые подтверждают наличие юридического лица: ИНН, сведения из ЕГРЮЛ и прочее.

После активации, ссылка на которую придет на указанную почту, следует дождаться окончания проверки. Этот процесс может занять от десятка минут до нескольких суток, после чего на e-mail придет архив с сертификатом, который требуется установить на сайт.

То, что содержится внутри сертификата.

В архиве обычно содержаться три файла – приватный и публичный ключи, а также цепочка SSL-сертификатов (CA Bundle), которая нужна для повышения доверия к ресурсу.

Далее можно подключить SSL-сертификат. После этого поменять протокол с HTTP на HTTPS, путём настраивания редиректа.

Для создания самоподписанных сертификатов в Центр сертификации обращаться не нужно. Для этого необходимо создать корневой сертификат с информацией о стране, городе, названии компании и домене, а к нему уже выпускать самоизданные, используя файлы конфигурации.

10. Бесплатный сертификат Let’s Encrypt.

Проект Let’s Encrypt начал свою работу в 2012 году, но только в 2015 начал выпуск сертификатов. Установить сертификат можно с помощью официальных клиентов на Linux и Windows. С 2018 года пользователям Let’s Encrypt доступны SSL-сертификаты типа Wildcard.

Как получить бесплатные сертификаты шифрования Let’s Encrypt указано в специальном разделе моего сайта.

Ссылка: «CentOS 7: Настройка бесплатного ssl-сертификата Let’s Encrypt».

Особенности Let’s Encrypt:

  • Ограниченный срок действия — обновлять сертификат нужно каждые 90 дней. Обычно обновление происходит вручную, хотя на некоторых панелях управления хостингом есть возможность делать его в автоматическом режиме.
  • Нет гарантий на компенсацию за утечку пользовательских данных.
  • Проверка только 20 поддоменов в неделю.
  • Не подходит для IDN-доменов (с кириллическим адресом, типа «мойдомен.рф»).
  • Нет возможности проверить владельца ресурса.

11. Как выбрать сертификат для сайта.

Чтобы выбрать SSL-сертификат, достаточно сравнить его возможности с другими пакетными вариантами. Самый доступный вариант получения электронной подписи — установка бесплатного сертификата, но такой вариант имеет ряд ограничений и подойдет далеко не всем.

Для коммерческих сайтов следует выбирать SSL-сертификаты с проверкой владельца (OV).

Популярным или представительским ресурсам, которым особенно важна репутация, рекомендуется обеспечить полное шифрование данных, включая внутренние страницы. Для этого отлично подойдет SSL-сертификат типа Wildcard.

На основании имеющейся информации выбрать бесплатный или платный сертификат для сайта довольно просто — он должен соответствовать индивидуальным требованиям к безопасности и обеспечивать для пользователей надежное шифрование личных данных.

12. Оригиналы источников информации.

  1. eternalhost.net «SSL-сертификат — полная инструкция для бизнеса».
  2. eternalhost.net «Какой SSL-сертификат выбрать для сайта — платный или бесплатный».