Что такое SSL-сертификат

Понятие SSL-сертификата и SSL-протокола

SSL-протокол — это способ шифрования информации и ее аутентификации при обмене данными между приложениями. SSL — это аббревиатура от Secure Sockets Layer, что переводится как «уровень защиты сокетов». Сокетом называют программный интерфейс, отвечающий за взаимодействие между процессами.

Первый протокол SSL появился в 1994 году и был представлен в нескольких версиях. Однако по мере развития технологий в каждом из релизов обнаруживались дыры в безопасности. После исправления ошибок общественности представили новый протокол с другим названием — TLS. Аббревиатура образована от словосочетания Transport Layer Security, что переводится как «защита на транспортном уровне». 

В настоящее время безопасность веб-ресурсов обеспечивается посредством протоколов TLS в версиях 1.2 и 1.3. Однако это название не получило широкого распространения, и сертификаты продолжают называть по старому принципу — SSL.

SSL-сертификат представляет собой цифровое удостоверение подлинности веб-сайта, с помощью которого осуществляется зашифрованное браузер-серверное соединение. Для шифровки данных используются одноразовые ключи. Такое решение позволяет повысить уровень защиты конфиденциальной информации от перехвата в процессе ее передачи. 

Например, вы хотите совершить покупку на маркетплейсе. Для транзакции вам нужно указать номер банковской карты, после чего полученные данные будут направлены на сервер. При отсутствии шифрования мошенники могут перехватить эти сведения, а вы — лишиться значительной суммы на своем счете. При активированной защите злоумышленникам будет чрезвычайно сложно получить доступ к информации даже в том случае, если они смогут захватить шифровку.

Поэтому все веб-ресурсы, которые просят пользователей указать персональные данные, придумать логины и пароли, обязаны иметь SSL-сертификат. Проверить его наличие у интернет-магазина, банка, обучающей платформы или иного сайта можно, посмотрев на левый край адресной строки браузера. Если там есть изображение закрытого замка, соединение безопасно.

Принцип работы SSL-сертификата

Протокол шифрует данные в соответствии с заложенными в него алгоритмами. Например, это может быть криптосистема с открытым ключом ElGamal, PKCS, RSA или DSA. Их использование гарантирует, что злоумышленники не смогут получить конфиденциальную информацию, в том числе номера банковских карт, адрес электронной почты и имя пользователя.

Подтверждение SSL-соединения занимает несколько миллисекунд. Взаимодействие с веб-сервером осуществляется по принципу, описанному ниже.

1. На сайт с SSL-сертификатом поступает информация о попытке подключения со стороны браузера или сервера.

1. Сторона, которая пытается подключиться к веб-ресурсу, запрашивает цифровое удостоверение.

1. Сайт обрабатывает запрос и в ответ направляет копию SSL-сертификата.

1. Сервер либо браузер проводит идентификацию цифрового удостоверения путем его сверки с базами данных. Если нарушений не выявлено, на веб-сервер направляется подтверждение о прохождении проверки.

1. Веб-ресурс передает второй стороне уникальную цифровую подпись, зашифрованную с помощью протокола SSL.

1. Создается защищенное браузер-серверное соединение, по которому передаются данные.

Если браузер не получит подтверждения о наличии действующего цифрового удостоверения, соединение с сайтом будет считаться ненадежным, а пользователь увидит предупреждение о возможной утечке конфиденциальной информации.

Зачем нужен SSL-сертификат

SSL-сертификат позволяет зашифровывать данные, тем самым гарантируя пользователям безопасность при указании контактов, проведении платежей, заключения договора дополнительного медицинского страхования, других операций. Ведь если эти сведения попадут к мошенникам, человек, живущий, например, в Омске, может узнать, что на него оформлен кредит во Владивостоке, где он никогда не был. У него могут неожиданно заблокировать счета, а то и вовсе снять все накопления. 

SSL-сертификат также служит защитой от появления сайтов-дубликатов, созданных злоумышленниками. Обычно названия таких ресурсов лишь немного отличаются от оригинальных доменов. Однако они не могут подтвердить наличие действующего цифрового удостоверения, о чем браузер тут же сообщит невнимательному пользователю.

Наличие SSL-сертификатов защищает от утечки следующих сведений:

• полного имени пользователя, его реального и электронного адреса, паспортных данных, контактной информации;
• пары «логин-пароль» для прохождения аутентификации;
• данных медицинского характера, например, истории болезни, номера полиса ДМС, записей к специалистам;
• номеров банковских карт с защитными кодами, проведенных транзакций, сумм на счетах.

Если пользователь заключает и пересылает в режиме онлайн контракты и какие-либо другие юридические документы, то вопрос защиты данных становится особенно актуальным. Это касается не только сервисов электронного документооборота (ЭДО), но и любых других вариантов обмена документацией. Например, по email или через службу техподдержки.

Еще один повод получить цифровое удостоверение — присвоение сайту веб-адреса https. Латинская буква «s» служит подтверждением безопасного соединения. 

Если в адресной строке браузера вместо https отображается http, это означает, что соединение с сервисом может оказаться небезопасным из-за риска утечки данных или заражения ПО вредоносными программами.

Виды SSL-сертификатов

Существует много разновидностей SSL-сертификатов, которые отличаются друг от друга глубиной проверки и надежностью. Формально их можно подразделить на две большие группы.

• Самоподписанные сертификаты (SSC). Такие цифровые удостоверения также называют самозаверенными, поскольку они подписываются самим субъектом. Технически SSC должен обеспечивать достаточный уровень защиты данных, однако браузеры всё равно будут помечать их как ненадежные из-за отсутствия SSL-сертификата из удостоверяющего центра.

• Версии, подписанные в удостоверяющих центрах. Считаются более надежными по сравнению с SSC и не провоцируют браузер на вывод угрожающего сообщения о том, что подключение не защищено от мошенников.

Ниже расскажем о наиболее востребованных сертификатах, подписанных в удостоверяющих центрах.

Сертификаты с расширенной проверкой (EV — Extended Validation)

Такой тип цифровых удостоверений чаще всего можно встретить у крупных веб-сайтов, которые посещают сотни тысяч и миллионы человек. То есть они обрабатывают огромнейшее количество конфиденциальной информации, в том числе при проведении онлайн-платежей.

EV SSL позволяет гарантировать прохождение полной проверки подлинности и безопасность всех полученных данных. Сертификат, подтверждающий право заявителя на домен, выпускается на основании предоставленных сведений о юридическом, рабочем и физическом статусе компании. При подключении к веб-ресурсу сервис должен сообщить верную информацию, иначе он будет отнесен к вредоносным сайтам. 

EV SSL можно распознать по следующим признакам:

• в левой части строки браузера изображен закрытый замочек;
• при клике на адресную строку в её начале отображается https;
• в адресной строке присутствует название компании;
• в сертификате указано, кем, когда и какой организации было выдано цифровое удостоверение, а также на какое общее имя оно зарегистрировано.

Если веб-ресурс защищен с помощью EV-сертификата, то текст в адресной строке браузера должен быть окрашен в зеленый цвет. Однако в связи со сложной обстановкой в мире в настоящее время это правило работает далеко не для всех браузеров. Например, Chrome перестал подсвечивать такие соединения. Более того, в адресной строке отображается только сам адрес, названия компании в ней не будет.

При работе с Internet Explorer браузер наряду с адресной строкой показывает название самой компании. Также он подсвечивает замочек, но только при условии, что на него наведен курсор.

Яндекс тоже ничего не окрашивает в зеленый цвет, но в отличие от Chrome, пишет, кому принадлежит веб-ресурс. 

Comodo Dragon отражает информацию, как и было задумано изначально. Замочек и название компании выделены зеленым цветом.

На основе приведенных примеров можно сделать вывод, что судить о типе сертификата только на основании отсутствия окраса адресной строки в браузере нельзя. Надежнее кликнуть на замочек и запустить просмотр действующего цифрового удостоверения.

Сертификаты, подтверждающие организацию (OV — Organization validation)

Этот вид цифровых удостоверений могут только юридические лица. Поэтому их работа в первую очередь направлена на данных при транзакциях, которые совершают пользователи наПеред получением сертификата компания должна предоставить свидетельство о регистрации юрлица и указать все контактные данные организации, включая адрес и название. Если эта информация не совпадет с указанной на публичных ресурсах, получить шифрование сайте. 

Например, 2gis, ru.kompass.com или infobel.com, то в выпуске сертификата может быть отказано.

Большинство OV SSL более доступны по цене в сравнении с EV SSL. Сертификаты, подтверждающие домен (DV SSL)

Этот широко распространенный вид сертификатов подтверждает только сам домен, не затрагивая сведения о юрлице. То есть такое цифровое удостоверение позволяет браузеру убедиться, что запрос выполнен правильно, а не был перенаправлен, например, на зеркало или на созданный мошенниками сайт-дубликат.

Интересно, что из всех перечисленных выше браузеров лишь Comodo Dragon предупреждает о том, что на сайте проверка безопасности проводится только для домена.

<no>alt=«Предупреждение от браузера отображается восклицательным знаком»</no>

Chrome, Яндекс и Internet Explorer подобных сообщений не показывают и просто пишут, что соединение защищено.

Конечно, защита с одноразовыми ключами работает, но принцип ее действия может не соответствовать протоколам EV и OV.

Другие типы сертификатов

● Wildcard, то есть с подстановочными символами. Применяются в случаях, когда помимо основного домена у компании есть множество поддоменов, требующих защиты. Такие сертификаты можно узнать по символу * перед общим именем.

• ●  SAN — похожи на Wildcard, но могут применяться не с одним, а с несколькими основными доменами. При этом для добавления новых серверов SAN SSL придется развертывать каждый раз заново. Такие многодоменные сертификаты также называют UCC, то есть унифицированными.
• ●  MDC —мультидоменныесертификаты,которые не поддерживают поддомены.То есть при наличии у хоста,например,двух имен,каждое из них должно быть указано при выпуске цифрового удостоверения.Какполучить SSL-сертификат бесплатноДля получения цифрового удостоверения владельцу домена нужно обратиться в сертифицирующую организацию,которая выпускаетсертификатытребуемого бизнесу уровня.Бесплатно выдаются только самоподписанныеSSL-сертификаты.Для этого можно обратиться,например,в некоммерческий,бесплатный,автоматизированный,открытый центр сертификацииLet’s encrypt.Если у вас естьSSH-доступ к веб-серверу,используйтеACME-клиентCertbotотLet’sencrypt.Из первого выпадающего списка выберите ваш тип программного обеспечения,из второго—систему,на которой работает ПО.После этого станет доступна пошаговая инструкция по получениюсертификата.Если доступа по SSH у вас нет, воспользуйтесь встроенной поддержкой вашего хостинг-провайдера. Сейчас многие из них поддерживают Let’s encrypt, что позволяет не только получить бесплатный SSL-сертификат, но и автоматически регулярно обновлять его.

Где приобрести SSL-сертификат

Компаниям, которым важно достоверение вместе с печатью доверия, подтверждающей надежность идется обратиться в один из удостоверяющих центров (УЦ).

Самые дорогие продукты — те, что имеют расширенную проверку. То есть чем ниже уровень защиты, тем более дешевым будет сертификат.

К наиболее крупным среди удостоверяющих центров относятся Symantec, DigiCert, GlobalSign и другие, внесенные в безопасные списки всех самых популярных браузеров.

Как узнать, есть ли у сайта SSL-сертификат

После прохождения проверки и загрузки сайта в адресной строке появится надпись https, где латинская «s» служит подтверждением безопасности соединения. Отсутствие этой буквы означает передачу на сервер незашифрованных данных.

Есть более быстрый способ убедиться в том, что веб-ресурс защищен от злоумышленников. Это изображение закрытого замка в левой части адресной строки. Если вы его видите, значит, можно не волноваться.

Кликнув на этот замочек и перейдя во вкладку «безопасное подключение», пользователь сможет увидеть информацию о действующем сертификате, получить у защиты соединения, пр 

Минимальная цена зависит от собственно удостоверяющего центра, а также от типа сертификата. Ряд УЦ пользуются инструментом DigiCert CertCentral и предлагают равнозначные цены. Например, это GeoTrust, Rapid SSL, Thawte.

Стоимость сертификатов на 1 год от DigiCert:

• ●  DV — 149$;
• ●  OV — 289$;

            ● EV — 430$.

Лидеры среди УЦ не прибегают к посредникам, а выставляют свои предложения по цене. Так, в GlobalSign DV-сертификат обойдется минимум в 249$ за год, OV — 349$, EV — 599$.

Срок действия SSL-сертификата

Чтобы проверить срок действия SSL-сертификата, достаточно перейти в инструмент просмотра, кликнув за закрытый замочек в начале адресной строки. В открывшемся окне можно будет посмотреть дату выпуска документа и когда потребуется его замена.

Согласно отраслевой политике, максимальный срок действия общедоступных сертификатов ограничен одним годом. Однако УЦ предлагают пакеты в том числе на два и три года с их ежегодным бесплатным перевыпуском.

Службы SSL, наряду с УЦ, заранее направляют владельцам сайтов предупреждение о том, что удостоверение подлинности скоро утратит актуальность. Ряд удостоверяющих центров предлагает услугу автоматического обновления, что удобно для бизнеса.

Если срок действия SSL-сертификата истек, а владелец домена не обновил его, ресурс сразу же помечается как ненадежный, с высоким риском утечки информации. Пользователь может проигнорировать предупреждение браузера, продолжив работу со знакомым ему сайтом. Но в этом случае нужно обязательно учитывать риск потери конфиденциальных данных, а также заражения своего ПК вредоносными программами.