SSL-сертификаты: Что это такое и для чего они нужны

Интернет — прекрасное место для многих людей: свободно доступная информация, глобальное общение, неограниченный обмен знаниями. Однако не все пользователи Интернета имеют добрые намерения. Преступники то и дело придумывают новые способы получения ваших конфиденциальных данных, таких как пароли к электронной почте или банковским счетам. Для этого они могут создавать мошеннические веб-сайты, похожие на сайты солидных компаний. Ничего не подозревающие пользователи часто попадаются на эту уловку, непреднамеренно передавая свои конфиденциальные данные преступникам. Однако и безобидные сайты могут быть использованы преступниками. Если передача данных между вами и сервером оператора сайта недостаточно защищена, третьи лица могут попытаться получить доступ к потоку данных.

Для того чтобы защитить данные пользователя от такого рода проникновения, были созданы стандартизированные SSL-сертификаты. Таким образом, веб-сайт заверяет пользователя (точнее: соответствующий браузер): «Ваши данные в безопасности с нами!».

Между тем, сертификаты больше не должны работать с устаревшим SSL, а полагаться на более новый и более безопасный TLS (Transport layer security). Однако в разговорной речи SSL-сертификаты по-прежнему являются наиболее распространенным термином, когда речь заходит о протоколах шифрования. Сам сертификат представляет собой запись данных: файл содержит большое количество информации, например, имя эмитента, серийный номер или даже так называемый отпечаток пальца для шифрования. Сертификаты доступны в различных форматах файлов. Если оператор сайта хочет использовать определенный сертификат, то ему необходимо установить его на сервер.

Чтобы получить сертификат, операторам веб-сайтов необходимо обратиться в центр сертификации. Эти организации имеют право выдавать SSL-сертификат, но обычно берут плату за свои услуги. Но почему каждый не может просто создать свою собственную организацию? Причина в том, что производители браузеров, такие как Microsoft, Mozilla или Google, также должны принимать сертификаты, иначе соответствующий сертификат не принесет реальной пользы. Компании Symantec, занимающейся разработкой программного обеспечения, также пришлось столкнуться с этой проблемой: После того как Google отказал в доверии этому производителю программного обеспечения, его сертификаты больше не поддерживаются браузером Chrome. В результате пользователи браузера Google больше не получают значок шифрования, указывающий на безопасную передачу данных, при просмотре веб-сайтов, использующих сертификат Symantec.

Однако сертификат, принятый браузерами, ни в коем случае не действует вечно. У каждого SSL-сертификата есть срок действия. Если он истекает, оператор сайта должен обновить сертификат, иначе соответствующие страницы перестанут отображаться как защищенные. Хотя регулярное обновление сертификатов может отнимать у операторов сайтов много времени и средств, оно все же необходимо. Только если органы аутентификации регулярно проверяют целостность, идентичность и используемые механизмы шифрования, можно гарантировать безопасность пользователей.

Существует несколько способов шифрования передачи данных. Обычно нужен ключ, чтобы зашифровать что-то, и точно такой же ключ, чтобы сделать сообщение снова читаемым. Однако этот метод не имеет смысла в Интернете, поскольку пользователи часто вступают в контакт с людьми или организациями, с которыми они никогда раньше не общались вне Интернета. Следовательно, нет способа передать ключ, не отправив его сначала в незашифрованном виде через общедоступный носитель. Поэтому в сертификатах SSL используется другая процедура.

В инфраструктуре открытых ключей вы создаете не один ключ, а два: полностью открытый и закрытый. Сообщение шифруется с помощью открытого ключа и может быть расшифровано только с помощью закрытого ключа. Затем оно передается публичному ключу и может быть расшифровано только с помощью закрытого ключа. Этот ключ затем поступает в браузер через сертификат и используется для шифрования. Существуют различные методы кодирования информации. Здесь также веб-сервер предоставляет браузеру необходимую информацию через сертификат.

Например, AES (расширенный стандарт шифрования) с криптографической хэш-функцией SHA256 является широко используемым методом шифрования, но стандарты регулярно меняются, поскольку и преступники, и криптоэксперты постоянно работают над выявлением уязвимостей механизма шифрования.

Существует несколько типов SSL-сертификатов. Хотя существуют разные экспоненты с разными механизмами проверки, эти факторы не являются решающими критериями. Скорее, SSL-сертификаты различаются, в частности, по тому, насколько тщательно проводится проверка заявителя и насколько велик диапазон действия сертификата.

Существует три типа верификации. Они различаются не только по времени обработки, но и по сопутствующим расходам. Хотя SSL-сертификаты с проверкой домена теперь доступны бесплатно, частные лица и малые предприятия редко в состоянии покрыть расходы на расширенную проверку.

Проверка домена — это самый низкий уровень SSL-сертификатов: проверка персонала, стоящего за адресом сайта, соответственно, поверхностна. Орган проверки подлинности часто только отправляет электронное письмо на адрес электронной почты, указанный в записи WHOIS. Например, заявителя просят изменить запись DNS или загрузить определенный файл на свой сервер, чтобы подтвердить контроль над доменом.

Процесс проверки может быть полностью автоматизирован, поэтому многие считают его небезопасным. Поэтому некоторые браузеры помечают сертификат DV SSL отдельно, чтобы указать на более низкие стандарты безопасности по сравнению с другими сертификатами. При использовании этой формы сертификата вы не получите никакой дополнительной информации об операторе сайта.

SSL-сертификаты OV стоят на один уровень выше с точки зрения безопасности посетителей. В рамках проверки орган по сертификации запрашивает документы у оператора сайта — обычно после завершения автоматизированного процесса проверки домена. Какие именно документы они запрашивают, зависит от организации выставки, например, иногда запрашивается выписка из торгового реестра. Кроме того, некоторые органы проверки подлинности связываются с оператором веб-сайта по телефону. Сертификаты OV SSL обеспечивают пользователям Интернета большую безопасность, поскольку они заранее отслеживают, кто на самом деле управляет веб-сайтом. Их преимущество также в том, что эта информация видна каждому пользователю в самом сертификате.

SSL-сертификаты с расширенной валидацией обеспечивают самый высокий уровень безопасности. При использовании этого типа сертификата проверяется домен и связанная с ним организация, а также сам заявитель. Также проверяется, действительно ли заявитель работает в указанной организации или компании и имеет ли он право запрашивать сертификат. Кроме того, орган по сертификации должен быть уполномочен проводить расширенную проверку. Чтобы получить разрешение, сайт должен пройти проверку CA/Browser Forum. Это добровольная ассоциация органов сертификации и производителей браузеров.

Важным фактором при выборе SSL-сертификата является его стоимость. Как правило, чем более продвинутой является сертификация, тем больше вам придется заплатить за сертификат в конечном итоге. С 2015 года Let’s Encrypt даже является поставщиком SSL-сертификатов, который выдает их бесплатно.

Если речь идет только о защите веб-сайта, чтобы доступ к нему осуществлялся через HTTPS, а не через обычный HTTP, то бесплатный сертификат отвечает всем требованиям так же хорошо, как и платный. Оба решения используют протокол передачи данных SSL или TLS и, таким образом, делают безопасную передачу данных обязательной для клиентов и серверов.

Однако между бесплатными и платными сертификатами есть несколько принципиальных различий:

• Уровень проверки: При выдаче сертификата проверка оператора сайта не очень обширна — типичным уровнем контроля здесь является проверка домена. Сертификаты с более высоким уровнем безопасности всегда являются платными.
   
• Срок действия: Большинство платных сертификатов действительны в течение одного или двух лет. Срок действия бесплатных сертификатов истекает не позднее чем через 90 дней. Поэтому если вы полагаетесь на бесплатный SSL/TLS, вам придется менять сертификат гораздо чаще.

Принадлежность домена: Бесплатный SSL-сертификат всегда может быть создан исключительно для одного домена, к которому он затем привязывается. Платные SSL/TLS-решения также позволяют создавать междоменные сертификаты, которые можно использовать для нескольких сайтов.

Платные SSL-сертификаты обладают различными преимуществами по сравнению с бесплатными альтернативами. Платные сертификаты действуют дольше и — в зависимости от поставщика и пакета — могут использоваться для нескольких доменов. Это не только повышает гибкость, но и требует гораздо меньше усилий от оператора сайта. В случае возникновения проблем соответствующие провайдеры или центры сертификации также предоставляют индивидуальную поддержку в стандартной комплектации — роскошь, без которой пользователи бесплатных SSL-сертификатов обходятся.

Еще одним преимуществом платных SSL-сертификатов является то, что зачастую в строке браузера может отображаться не только индикация активного HTTPS, но и собственное название компании — при условии выбора соответствующего провайдера и пакета.

Платный SSL-сертификат, прошедший EV-тестирование, без сомнения, является лучшей формой шифрования для вашего веб-проекта. Однако этот тип сертификата могут получить только крупные компании. Более дешевых сертификатов обычно достаточно для проектов в секторе малого и среднего бизнеса. При условии, что не обрабатываются особо важные данные — интернет-банкинг является примером компании, работающей с конфиденциальными данными. Для небольших проектов, где передача персональных данных не играет практически никакой роли, бесплатные SSL-сертификаты являются хорошей альтернативой платным предложениям. В этом случае у вас будет немного больше административной работы, но меньше исходящих расходов.

Когда вы подаете заявку на SSL-сертификат, вам следует обратить внимание на то, насколько далеко он распространяется — в том числе на то, попадают ли под действие сертификата, например, субдомены.

Обычный сертификат действителен только для одного домена. Это означает, что «www.example.com» и все подстраницы этого сайта подпадают под действие одного SSL-сертификата, но их поддомены — нет. Если вам нужно, чтобы ваши поддомены тоже были покрыты, то вам нужно подать заявку на другой сертификат или приобрести сертификат wildcard.

Некоторые сертификаты имеют такое название, поскольку они работают с подстановочным знаком. Вместо того чтобы вводить, например, «www.example.com», эти SSL-сертификаты распространяются на все поддомены — то есть также на «mail.example.com» или «blog.example.com». Они выдаются в форме «*.example.com». Звездочка символизирует подстановочный знак.

Сертификаты с несколькими доменами (также называемые SAN-сертификатами) выходят далеко за рамки сертификатов с одним именем или подстановочным знаком. Многие органы сертификации предлагают своим клиентам сертификаты, охватывающие до 100 доменов. Например, заявители, имеющие только один сертификат, могут защитить домены «www.example.com» и «www.example.org». Это возможно, если вы используете расширение имени альтернативного субъекта — дополнительное поле в сертификате, в котором указываются все остальные домены.

Если вы используете современный браузер, то легко определить, просматриваете ли вы сайт, защищенный с помощью SSL/TLS: посмотрите на адресную строку! Есть две вещи, которые прямо указывают на шифрование: с одной стороны находится символ замка, а с другой стороны адрес начинается с «

«

вместо обычного «http://». Дополнительная буква «S» означает «Secure» и сигнализирует пользователям, что к протоколу передачи гипертекста добавлен дополнительный уровень SSL/TLS. Дополнительный уровень шифрования был добавлен в стек протоколов TCP/IP — между TCP и HTTP.

Замок (обычно зеленый) — это, прежде всего, очевидный сигнал браузера о том, что у посещаемого вами сайта есть действующий сертификат. Кроме того, вы можете нажать на него, чтобы получить дополнительную информацию о безопасности сайта. Щелкните на нем, чтобы открыть всплывающее окно с информацией об эмитенте сертификата, используемом шифровании и сроке действия.

Если сайт, на котором вы находитесь, не имеет подтвержденного SSL-сертификата, в адресной строке не будет зеленого замка или надписи «https://». Кроме того, некоторые браузеры предупреждают пользователей таких сайтов при попытке передать на сервер пароли или другие конфиденциальные данные. Затем программа изменяет их таким образом, чтобы их данные не были перехвачены посторонними.