Цифровой сертификат безопасности (SSL). Что это такое, зачем нужен и как работает

Даже если вы никогда не слышали про SSL-сертификаты, то наверняка сталкивались с ними. Например, при посещении любимых интернет-ресурсов. Если взглянуть на адресную строку в браузере, то можно увидеть значок закрытого замка, при нажатии на который появляется надпись «Безопасное соединение». Замочек или появление HTTPS вместо HTTP означает, что у сайта имеется SSL (Secure Sockets Layer). Если этого нет, в адресной строке можно увидеть открытый замочек или надпись «Не защищено».

Цифровой сертификат безопасности (SSL) - это сертификат безопасности, необходимый для безопасной передачи данных с помощью протокола шифрования. Использование этого протокола гарантирует безопасность обмена данными между сервером web-портала и браузером пользователя. Другими словами, SSL-сертификат защищает пользователей от хищения или подмены данных.

Зачем нужен сертификат

Это забота о безопасности пользователей, а также работа на репутацию. Видя значок замка, человек получает уверенность в том, что вводимые им личные или финансовые данные не окажутся в чужих руках. Это важно, ведь из-за утечек имидж компании может быть подпорчен. Если сертификата безопасности нет, посетители могут отказаться от работы с ресурсом.

Без SSL сайт уязвим. Это особенно актуально для банков, интернет-магазинов, госпорталов и других интернет-ресурсов, работающих с ПДн или другой чувствительной информацией. Более того, некоторые браузеры воспринимают сайты без защитного протокола как потенциально опасные для пользователей.

Технология работы

SSL одновременно использует два типа шифрования, симметричное и асимметричное. Это никак не сказывается на действиях интернет-пользователей. Всё происходит на уровни сети.

  1. Вы указываете имя интернет-ресурса;
  2. Браузер проверяет DNS, определяет IP-адреса хоста сайта;
  3. Переходит на веб-сервер хоста;
  4. Запрашивает у него безопасное SSL-соединение;
  5. Хост возвращает валидные данные сертификата;
  6. Браузер устанавливает защищённое соединение.

Весь процесс занимает несколько секунд, а в ИТ-терминах называется «рукопожатием». После рукопожатия сервер вместе с браузером пользователя используют симметричный ключ, который действителен только для этой сессии (посещения). Все данные будут зашифрованы/расшифрованы именно им. После завершения сессии ключ уничтожается. Когда пользователь снова зайдёт на сайт, процедура повторится.

Типы сертификатов

Различают шесть типов SSL-сертификатов. Их основное отличие — в стоимости, а также уровне проверки.

Сертификаты с расширенной проверкой (EV SSL). Считаются престижными, наиболее дорогими. Используются преимущественно на популярных порталах, собирающих ПДн или принимающих платежи. После установки возле адреса сайта появляется HTTPS, значок замка, имя компании, страна. Для получения необходимо пройти строгую проверку, а также подтвердить наличие исключительных прав на домен.

Сертификаты, подтверждающие организацию (OV SSL). Уровень доверия аналогичен предыдущему, поскольку владельца проверяют по той же схеме. Стоят дешевле, в адресной строке видна информация о владельце. Используются для шифрования транзакций. OV SSL ставят, чтобы защитить обрабатываемые данные от компрометации.

Сертификаты, подтверждающие домен (DV SSL). Недорогой, простой в получении. Право собственности на домен подтверждается по email или телефону. После установки в адресной строке появляется HTTPS и значок замка. Менее надёжны, но подходят для блогов, новостных порталов, других ресурсов, обрабатывающих ПДн и платежи.

Wildcard-сертификаты (сертификаты с подстановочными символами). Используются для защиты базового домена с поддоменами, содержат звездочку (*) как часть общего имени. Когда нужно защитить несколько поддоменов, нет смысла покупать отдельные для каждого из них. Выгоднее купить один Wildcard-сертификат.

Мультидоменные сертификаты (MDC). Используются для защиты нескольких доменных/поддоменных имен, включая сочетания уникальных доменов и поддоменов с разными доменами верхнего уровня. Исключение — локальные/внутренние поддомены. В ситуации, когда нужно защитить интернет-ресурсы www.sitename.com и sitename.com, на этапе получения SSL указывают оба имени.

Сертификаты унифицированных коммуникаций (UCC). Тоже относятся к мультидоменным сертификатам, а придуманы были для защиты серверов Microsoft Exchange и Live Communications. Сейчас ими может пользоваться любой владелец сайта, желающий защитить несколько доменных имён одним сертификатом. UCC проверяются на уровне организации, а в браузере отображаются значком замка.

Как получить SSL-сертификат

Для тех, кто не знает, где взять SSL, поясняем. Есть три способа: приобрести у компании, сделать самому или получить бесплатно. Самый простой вариант — заказать его. Например, корпоративный облачный провайдер Cloud4Y предлагает три типа сертификатов:

  1. Symantec. Решения компании обеспечивают должный уровень безопасности сайтов, гарантируя самый высокий уровень защиты и беспрецедентное качество в отрасли.
  2. Thawte. Накопленный опыт в сочетании с новыми технологиями в области защиты данных позволили компании заслужить доверие потребителей во всём мире.
  3. GeoTrust. Эти недорогие сертификаты позволяют сайтам гарантировать безопасность.

Также существуют бесплатные сертификаты. Например, созданные внутри самой компании — самоподписанные. Их можно быстро насоздавать в любом количестве. Не у них нет должного уровня защиты, есть риск потерять данные. Кроме того, существует риск ошибки при создании такого сертификата, из-за чего он будет только отпугивать посетителей.

DV SSL тоже обычно бесплатны. Но у них короткий срок жизни (до 3 месяцев), их трудно продлевать, есть риск не заметить, что срок действия давно истёк. К тому же, у них нет технической поддержки.

Как установить SSL-сертификат

До того, как приступать к установке сертификата, позаботьтесь о его активации. Это делается в системе компании, которая продала защитный сертификат. Для активации необходимо указать контакты и данные CSR (Certificate Signing Request)— зашифрованную информацию о домене и компании, а затем отправить запрос. Система пришёт CSR и приватный ключ. В некоторых случаях добавляется публичный ключ.

Скопируйте эти данные или перешлите себе на почту. Они понадобятся, когда вы будете устанавливать SSL на сервер. Будьте внимательны, чтобы не перепутать CSR с приватным ключом! Данные первого файла не является чем-то тайным, а второго — секретная информация.

Для установки понадобится сертификат, приватный ключ и цепочка сертификатов. Как получить приватный ключ, рассказано выше, остальные данные выдаст центр сертификации. У файла сертификата расширение *.CRT, а у файла цепочки — *.CA-BUNDLE.

Процесс установки зависит от вида хостинга и используемой панели управления. Рекомендуем обратиться к вашему провайдеру, чтобы он прислал соответствующие инструкции или помог с установкой.

Обратите внимание, несколько раз установить один сертификат нельзя. Он предназначен для работы на одном сайте, а при установке на разные может возникнуть ошибка. Или, если эта процедура всё же удастся, сайты окажутся уязвимыми, а данные пользователей и владельцев сайта неизбежно будут скомпрометированы.


Вверх!