Что такое SSL-сертификат, как работает и зачем он нужен
SSL сертификаты нужны для обеспечения безопасности обмена информацией между web-сервером и пользователем. Этот протокол был создан примерно 25 лет назад фирмой Netscape Communications для работы с браузером Netscape Navigator. В 2014 году в последней версии этого стандарта была найдена уязвимость и собственникам web-ресурсов было рекомендовано перейти на TLS. Сейчас чистый SSL используется очень редко. Но старое название прижилось и поэтому сам протокол обычно называют по-старому. Самая последняя версия вышла в августе 2018 года и официально называется TLS 1.3.
Общее понятие: главное о сертификате
Это обычный файл, в котором содержится информация о фирме, владеющей веб ресурсом, привязанная к ключу шифрования. Его основное назначение – обеспечение безопасности денежных и других транзакций, например, при покупке товара через интернет. Кроме того, он используется при передаче голосовых сообщений через VoiceIP, а также в таких программах как e-mail, интернет-факс и многих других.
В стандарте применяется асиметричное шифрование для выполнения процедуры обмена открытыми ключами, симметричное для передачи информации и коды аутентификации для контроля целостности принятых данных. Всего может использоваться три алгоритма шифрования: RSA, Fixed Diffie-Hellman, Ephemeral Diffie-Hellman, Anonymous Diffie-Hellman.
Криптографический протокол способен обеспечить канал приёма-передачи данных со следующими свойствами:
- Частный, шифрование в котором применяется постоянно, во время всего диалога, после установления связи и обмена ключами.
- Надёжный, поскольку предполагает проверку целостности пересылаемой информации.
- Аутентифицированный.
Он работает независимо от протоколов прикладного уровня, таких как HTTP, SMTP, FTP и других, что обеспечивает прозрачность его применения. Для этого он определяет параметры шифрования до начала обмена данными. Изначально он был предназначен для работы с Transmisson Control Protocol (TCP), но может также работать с User Datagam Protocol (UDP) и Datagam Control Protocol (DCCP).
Как работает сертификат
В стандарте используются такие элементы как аутентификация и шифрование всех передаваемых данных.
Система защиты персональных данных канала передачи работает по следующей схеме:
- пользователь через браузер отправляет запрос на идентификацию к сервису с установленным протоколом SSL;
- web-сервер отсылает браузеру копию своего сертификата;
- браузер проверяет, является ли полученный сертификат доверенным и сообщает о результатах web-серверу;
- после этого web-сервер передаёт подтверждение с цифровой подписью;
- начинается обмен зашифрованными данными, причём шифрование производится как сервером, так и браузером.
Такой процесс называется подтверждением безопасного соединения.
Типы сертификатов
Имеются несколько разновидностей сертификатов, которые отличаются друг от друга по цене (хотя существуют и бесплатные сертификаты, о которых можно прочитать тут). Чем выше стоимость, тем протокол надежнее и престижнее. Цена зависит от сложности проверки. При выборе протокола нужно ориентироваться на специфику, функциональность и размер web-сервиса.
EV SSL
EV SSL – это сертификат с расширенной проверкой. Он считается самым престижным и дорогим и рекомендуется для установки на популярные web-ресурсы, а также там, где происходит продажа или покупка товаров за деньги и сбор данных о пользователях.
Чтобы его установить, требуется пройти проверку, и доказать свои права на сайт. После установки протокола, в адресной строке должен появится замок, название фирмы и страна, что повышает доверие к данному web-ресурсу и позволяет отличить его от поддельных.
OV SSL
OV SSL является сертификатом подтверждающим компанию владельца. Он имеет аналогичное доверие, как и EV SSL. Для его установки также требуется пройти тщательную проверку. И при открытии web-ресурсов на этом протоколе в адресной строке пользовательского браузера будет отображается название фирмы владельца web-сервиса.
Сертификаты уровня OV SSL стоят меньше, чем EV SSL. Их главная цель – защита информации о пользователе при выполнении им транзакций через сайт. Их рекомендуется устанавливать коммерческим сайтам, чтобы обезопасить передаваемые клиентами данные.
DV SSL
DV SSL сертификаты подтверждают домен. Чтобы его получить требуется пройти минимальную проверку, нужно просто подтвердить своё право на используемый домен. Обычно для этого достаточно ответить на письмо, пришедшее по электронной почте. Вся процедура занимает немного времени. В результате они имеют меньшую надёжность.
Цена DV SSL сравнительно невысокая. После его получения, у пользователей, зашедших на сайт, в адресной строке браузера не будет отображаться название компании, только замок. Данный протокол рекомендуется устанавливать на информационные ресурсы, которые не занимаются приёмом денежных платежей.
Wildcard
Wildcard советуют использовать для защиты исходного домена и всех его поддоменов. При наличии большого количества поддоменов, требующих защиты, дешевле купить один wildcard, чем несколько обычных.
MDC
MDC – мультидоменный сертификат, который способен защитить сразу несколько доменов или поддоменов, в том числе уникальных, имеющих разные домены верхнего уровня. По умолчанию они не поддерживают использование поддоменов, поэтому при регистрации следует указать все нужные поддомены.
UCC
UUC – это мультидоменный сертификат. Он был разработан компанией Microsoft для защиты собственных серверов фирмы: Microsoft Exchange и Live Communications. Сейчас доступ к нему открыт, и его может установить каждый владелец сайта. Проверка происходит на уровне фирмы. После установки в браузере появляется знак замочка без названия компании. UCC можно использовать так же, как и EV SSL сертификаты с расширенной проверкой, так как они позволяют обеспечить безопасность на самом высоком уровне.
Зачем нужен сертификат
Основное назначение стандарта – это шифрование данных, чтобы никто не смог перехватить личные данные клиента, такие как имя, место проживания номер телефона клиента, реквизиты банковской карты и данные о банковском счёте, сведения о контрактах и других юридических документах, пароли и другую конфиденциальную информацию. Он также обеспечивает целостность информации и её подлинность, то есть гарантирует, что она не была изменена злоумышленником при передаче от сервера к пользователю.
Наличие криптографического протокола повышает доверие к сайту у посетителей и поисковых систем. Поисковые системы, например, Google, ранжируют такие ресурсы выше в поисковой выдаче, а это благоприятно сказывается на его посещаемости. Именно поэтому целесообразно устанавливать протокол не только на коммерческие сервисы, но и на информационные сайты, поскольку без него раскрутить web-ресурс с помощью методов SEO будет достаточно сложно.
Как узнать, есть ли у сайта SSL
Существует несколько способов проверить наличие сертификата:
- При посещении небезопасного сайта браузеры выдают предупреждения, в адресной строке должен появится один из следующих знаков: красный или открытый замок, линия, зачёркивающая адрес, надпись: «Не защищено», или треугольник;
- У защищённых сайтов адрес начинается с букв https, а у опасных с http;
- У защищённого сайта, слева от адреса, должен находиться замок, на который можно щёлкнуть и узнать все доступные сведения о владельце (у самых доверенных сайтов значок будет зелёного цвета);
Заключение
Сегодня иметь сертификат стало необходимостью для каждого, кто имеет свой сайт. С 2018 года компания Google стала считать небезопасным все сервисы, не имеющие криптографического протокола. Поэтому поднять в поисковой выдаче такие сайты стало намного сложнее, да и пользователи меньше доверяют такому ресурсу. В то же время некоторые системы управления контентом, например, CMS WordPress, объявили, что некоторые функции их движков будут доступны только после установки SSL сертификата.
О том, как установить SSL на сайте, читайте в следующей статье.