Что такое ssl сертификат


SSL сертификаты и HTTPS: что нужно знать

От автора: Если вы пользуетесь Chrome 56 и выше, то могли замечать, что некоторые HTTP страницы помечены, как незащищенные. Эта функция была представлена в январе 2017, но только для страниц, собирающих пароли и данные о кредитных картах. Функция является частью плана Google по переходу на более безопасный интернет. В итоге, они хотят пометить все HTTP страницы как «незащищенные» и сменить индикатор HTTP защищенности на красный треугольник, который используется для отключенных HTTPS соединений.

SSL сертификаты и HTTPS: что нужно знать

Переключение на HTTPS может стоить больших усилий. Но как же активировать это защищенное соединение? В чем его преимущества? Давайте разбираться.


Что такое HTTPS?

HTTPS расшифровывается как HyperText Transfer Protocol Secure или безопасный протокол передачи гипертекста. Самое очевидное различие с HTTP – это слово «безопасный». Соединение зашифровано, что предотвращает считывание данные при перехвате.

Чтобы безопасное соединение заработало, отправитель и получатель должны использовать код для шифрования и дешифрования сообщения. Процесс шифрования осуществляется с помощью SSL сертификата.

Что такое SSL сертификаты

SSL сертификаты основаны на шифровании с открытым ключом.

Эта техника шифрования использует два ключа: закрытый и открытый ключ (оба являются набором случайных чисел). Открытый ключ доступен всем. Если Джон хочет послать сообщение Кэрол, он может взять ее открытый ключ и зашифровать им сообщение. Расшифровать сообщение можно только с помощью закрытого ключа Кэрол. Если хакер перехватит сообщение, он не сможет его прочитать, потому что у него нет закрытого ключа Кэрол.

Типы SSL сертификатов

На данный момент существует три типа SSL сертификатов:

Сертификаты с проверкой доменного имени самые обычные. Они проверяют, имеет ли владелец SSL сертификата права на определенный домен. С таким сертификатом относительно легко работать, и оформляется он не так долго.

Сертификаты с подтверждением домена и организации берут за основу первый сертификат и добавляют к нему проверку организаций. Посмотреть эту информацию можно, нажав на иконку замка в адресной строке браузера.


Сертификаты с расширенной проверкой обеспечивают максимальную безопасность. Проверка сертификата этого типа очень тщательная (по строгим правилам EV) и включает:

Что выбрать, решать вам. Для маленького бизнеса достаточно будет сертификата с подтверждением домена. Но если вы обслуживаете большой интернет-магазин, сертификат с расширенной проверкой будет хорошим вложением. Почему? Потому что этот сертификат добавляет иконку зеленого замка в адресной строке браузера, где будет отображаться название вашей компании, что повысит доверие пользователей к вашему сайту.

Стоимость SSL сертификатов

SSL сертификаты можно купить у разных поставщиков (центров сертификации), например у Symantec. Цена варьируется от $150 в год до $1000+ в год. Все зависит от типа сертификата и гарантий.

Но есть и бесплатный SSL сертификат от Let’s Encrypt.

SSL сертификаты и HTTPS: что нужно знать

Let’s Encrypt – автоматизированный и открытый центр сертификации, работающий на благо общественности. Их спонсорами выступают крупные бренды типа Mozilla, Cisco, Google и Facebook, что позволяет им выдавать людям цифровые сертификаты для активации HTTPS совершенно бесплатно.

Как установить SSL сертификат

Если вы удачливый, то у вашего хостинг провайдера есть помощник по установке SSL (или еще лучше – установщик в один клик). Это поможет развернуть защищенное соединение за считанные минуты. С набором популярности HTTPS соединения все больше хостинг провайдеров будут включать эту услугу в свои тарифы.


Если у вашего провайдера нет такой возможности, придется установить SSL сертификат вручную. Процесс может занять довольно много времени. К счастью для нас, Mitchell Anicas с сайта Digital Ocean написал подробнейшее руководство по установке SSL сертификата.

Преимущества HTTPS/SSL

HTTPS обладает следующими преимуществами:

Что необходимо учесть при переходе на HTTPS

Внедрение SSL сертификата – это не легкая задача. Прежде нужно учесть несколько вещей. Например, время, необходимое на внедрение. Также SSL сертификат действует ограниченное время. То есть время от времени его придется обновлять.

Также нужно учесть его стоимость. Конечно, Let’s Encrypt предлагает бесплатные сертификаты, но это самая простая версия. Если необходимо подтверждение организации или расширенная проверка, придется заплатить.

Переключение с HTTP на HTTPS может вызвать ряд SEO проблем, в основном из-за битых ссылок. Решить проблему можно с помощью 301 редиректа через файл .htaccess:

Заключение

Нет никаких сомнений в том, что HTTPS будет набирать популярность в будущем. Безопасность и доверие пользователей – главные преимущества, но давайте не забывать и про небольшой прирост скорости загрузки страниц, а также о повышении рейтинга в поисковиках.

Можно получить бесплатный SSL сертификат. Однако проверка организаций и расширенная проверка все еще стоят очень дорого. Более того, развертывание может занять много времени и вызвать различные проблемы.

webformyself.com

Что такое SSL сертификат самыми простыми словами


Вспомните, как часто происходит дело в шпионских детективах. Нам нужно отправить послание сообщнику в другую страну, и нам очень не хочется, чтобы враги перехватили наше послание и прочитали его.

Поэтому мы с сообщником условились о специальном шифре. У меня есть книга (допустим «Пикник на обочине» Стругацких), и у него есть такая же книга. Я пишу письмо сначала простыми человеческими словами, а потом каждое слово заменяю на цифру. Например, цифра «137» будет обозначать, что данное слово находится на первой странице книги, на третьей строчке, седьмое слово по счету.

Мой сообщник получает письмо с цифрами «137-536-9978», берет свой томик Стругацких, и в обратной последовательности расшифровывает мое послание. Понятно, что даже если письмо будет перехвачено по дороге – никто не поймет, что там написано, потому что только мы с сообщником знаем, какую именно книгу мы используем для шифрования.

Вот и SSL протокол работает схожим образом. Только вы с сообщником каждого нового письма используете новую книгу. Кроме того, ваши книги – уникальны. То есть, нигде в мире больше нет ни одного экземпляра этой книги – только у вас и у сообщника.

Ну и, плюс ко всему, письмо вы отправляете не «Почтой России», а привязываете его к лапе самого быстрого ястреба, который летит от вас прямо по нужному адресу, и скорее погибнет, чем даст кому-то забрать у него ваше письмо.


Что такое ssl сертификат

Вы – это ваш сайт. Ваш сообщник – это ваш хостер-провайдер. Сообщение, которое вы передаете – это любая информация, которую пользователи вводят у вас на сайте – номера банковских карточек, пароли, емейлы и прочее. Быстрый ястреб-камикадзе – это прямой цифровой туннель для сообщения между вашим сайтом и сервером.

Такая работа через «уникальные книги» называется «SSL протоколом». А чтобы иметь возможность работать через этот протокол – вам надо сначала получить SSL сертификат. Это своеобразное удостоверение личности вашего сайта в интернете.

Можно ли взломать SSL протокол?

Теоретически, взломать можно даже эту сложную систему шифрования. То и дело на разных конференциях зачитываются доклады о том, как можно перехватывать сообщения по SSL, и как можно их расшифровывать.

Но на практике все эти способы либо очень сложные, либо очень долгие. То есть на расшифровку одной «буквы» послания может уйти до 2-3 часов времени. Естественно, такая «расшифровка» не сможет применяться для реального воровства ваших данных. И до сих пор SSL протокол считается «невзламываемым».


Но вот другой вопрос. Означает ли это, что ваш сайт и ваши данные в безопасности? Как ни удивительно, но вовсе не означает.

В чем главная опасность SSL сертификата?

То, что вы используете уникальные книги для шифрования, не значит, что злоумышленник не может притаиться где-нибудь на втором этаже вашего дома. В бинокль он увидит все, что вы пишите на листочке бумаги, и ему не придется даже ничего расшифровывать – он считает сообщение еще до того, как оно будет хитро зашифровано.

Точно так же и с сайтами. Наличие «https» у сайта не гарантирует, что на этом сайте нет вирусов или вредоносных программ. Такие программы могут считывать все, что вы вводите в поля платежной формы.Что такое ssl сертификат

Кроме того, получить SSL сертификат сегодня очень просто. Самый распространенный вариант – это сертификат для подтверждения домена (так называемые DV – Domain Validation). То есть для его получения достаточно подтвердить, что у вас есть доступ к емейлу, на который зарегистрирован домен, вот и все. Никто не проверяет, что это за сайт, какой деятельностью он занимается, нет ли на нем вирусов.

Соответственно, любой хакер может сделать сайт, купить для него SSL (или даже взять бесплатный, их сейчас хватает) – и собирать ваши данные себе в копилку. Да, на его сервер они попадут в безопасности. Но куда они отправятся оттуда? Вопрос открытый.


И главной опасностью всей этой истории с SSL я считаю то, что у рядовых пользователей возникает ложное ощущение безопасности (либо наоборот — опасности), когда они видят, что сайт на https-протоколе (либо наоборот – на обычном «http»).

А масла в огонь подливает мой любимый Гугл.

Мол, и сайты-то без «https» мы будем помечать как «небезопасные» (читай – «мошеннические» с точки зрения пользователей), и как сигнал для SEO-ранжирования это включим. И все вебмастера в срочном порядке бросились переходить на SSL. Вот тут-то и открылась вся страшная правда.

Далеко не для всех сайтов SSL одинаково полезен. А во многих случаях даже вреден.

Нужен ли SSL сертификат для вашего сайта?

Если вы собираете важные личные данные посетителей сайта – такие как номера банковских карточек – то однозначно да. Вам обязательно нужно установить SSL протокол на свой сайт. Вы обязаны максимально обеспечить безопасностей людей на вашем ресурсе, иначе вы станете невольным пособником злоумышленников.

Вопрос в другом – надо ли вам заморачиваться со всеми этими сертификатами, если у вас не интернет-магазин, а обычный блог или информационный сайт? Принесет это вам какую-то пользу или наоборот? Да, к сожалению, может быть и наоборот.

Давайте я приведу здесь ТОП-3 мифов про SSL-сертификаты, которые распространены среди веб-мастеров.

Миф #1 – Гугл пометит мой сайт страшным красным значком, и все посетители с него убегут


На самом деле, Гугл давно стращает веб-мастеров тем, что в новой версии браузера Google Chrome все сайты без https будут помечаться как «небезопасные». Сначала они хотели ввести это в 53 версии своего браузера, потом в 58, потом в 62… Сейчас у меня установлена уже 63 версия Гугл Хром, и вот, что я вижу, когда открываю через него свой сайт (который работает на обычном «http»).

Что такое ssl сертификат

Вместо обещанного страшного красного значка висит круглый значок «i», который означает, что тут можно прочитать какую-то информацию. И если кликнуть по этому значку, тогда открывается сообщение, что подключение к сайту не защищено, и тут не надо оставлять личные данные.

То есть ничего страшного не показывается. А вдруг они начнут показывать «страшное» чуть позже, в 64 или 164 версии Хрома? Не начнут. Я в этом уверен по следующим причинам:

  1. Гугл Хром помечает красными значками только те страницы, на которых есть реальные формы для ввода каких-то данных, а эти страницы не защищена SSL;
  2. Гугл Хром показывает предупреждение «Не защищено», только когда вы начинаете вводить свои данные в форму. До этого момента она висит безо всяких предупреждений;
  3. Если Гугл вдруг разом начнет запугивать посетителей обычных сайтов, то они на самом деле разбегутся. То есть Гугл потеряет всю свою поисковую выдачу, которую любовно выстраивал в течение многих лет. Это однозначно негативно скажется на качестве поисковой выдачи, и тогда пользователи разбегутся уже от самого Гугла (подтверждение моих слов смотрите чуть ниже).

То есть, другими словами, пока вы не собираете важные личные данные людей – Хрому нет никакого дела до того, на каком протоколе вы работаете.

Миф #2 – Гугл ставит выше в поиске сайты на https

Именно благодаря этому мифу во многом SSL-протокол получил такое широкое распространение. Веб-мастера вообще любят простые решения. Им сразу понравилась идея, что можно просто переехать на защищенный протокол, и тогда их сайты сразу «попрут» в гору. Не надо работать над качеством ресурса, не надо создавать ценный контент. Здорово же.

На самом деле, https нисколько не влияет на поисковую выдачу (по крайней мере в положительную сторону). Если отбросить весь треп, который стоит вокруг этой темы, и обратиться к первоисточнику (то есть к самому Гуглу), то мы увидим следующее.

В 2014 году Гугл потряс сообщество веб-мастеров сообщением о том, что теперь SSL будет учитываться как сигнал ранжирования. То есть буквально – сайты с SSL будут иметь приоритет при прочих равных.

Однако, влияние данного фактора будет очень незначительным – менее 1% от совокупности всех факторов ранжирования (а их у Гугла уже тысячи). Конечно, они пообещали, что далее вес данного фактора будет только увеличиваться и… замолкли на целых три года.


Официальных сообщений на эту тему больше не поступало. Сайты переезжали на https и дружно со свистом вылетали из индекса, а потом с большим трудом туда возвращались (хорошо, если вообще удавалось вернуть все свои позиции). А Гугл молчал.

В конце концов, в апреле 2017 году он объявил, что не намерен увеличивать вес данного фактора ранжирования. Перевод переписки между сотрудником Moz и представителем поиска Гугла на скриншоте ниже:

— Сейчас по нашим данным почти 50% сайтов в ТОПе Гугла используют SSL. Планируете ли вы дальше усиливать ранжирование в пользу защищенных сайтов?»

— Нет, мы рассмотрели эту идею несколько месяцев назад, и решили отказаться от неё»

Что такое ssl сертификат

Иначе говоря, для Гугла это был эксперимент – улучшится ли качество поисковой выдачи благодаря влиянию https или нет. Не улучшилась (и в самом деле, с чего бы?) Соответственно, от эксперимента отказались.

В качестве еще одного доказательства своей точки зрения я могу привести вам пример выдачи гугла по запросу «контент план».

Что такое ssl сертификат

Как вы видите сами, в ТОП-5 выдачи только один сайт имеет https протокол. И стоит он только на 4 месте. Все остальные сайты (включая мой на второй позиции) работают на обычном http, что нисколько им не мешает продвигаться.

При чем, обратите внимание, на https работает очень крупный и известный ресурс в нашей нише — Texterra. У этого сайта намного больше страниц, чем у меня, над ним трудится целая армия авторов и контент-менеджеров (а я пишу один), и этот сайт почти в два раза старше моего. То есть тут даже не «прочие равные». И если «https» — такой крутой фактор ранжирования, так поставьте его на первое место.

Но такого почему-то не происходит. Наверное, потому что для выхода на первые места одного SSL все-таки недостаточно.

Миф #3 – Переезд на SSL – это быстро и безопасно

На самом деле, это очень опасно и совсем не быстро. Если вы переезжаете с «http» на «https», то с точки зрения поисковых систем появляется абсолютно новый сайт. Вся его история обнуляется, все страницы надо заново индексировать, и выбирать им место в поиске.

А поисковые системы очень не любят, когда что-то так резко меняется на сайте. Гугл приводит список «best practice» переездов на https (то есть список кейсов, где переезд закончился удачнее всего). И знаете, какой результат считается самым успешным? Когда в течение 2-3 месяцев удается вернуть себе весь или почти весь трафик, который был до переезда.

То есть ни о каком качественном прорыве речи даже не идет. И никакой пользы в плане выдачи вы не получите.

А вот навредить своему сайту и себе можете очень даже запросто. Дело в том, что переезд на SSL – дело довольно тонкое. Если вы настроите что-то немножко не так, то ваш сайт вообще полностью вылетит из индекса очень надолго.

Что такое ssl сертификат

Например, вы можете неправильно настроить работу двух версий сайта – http и https, и тогда абсолютно на всех страницах будет выскакивать огромное предупреждение во весь экран – «Этот сайт небезопасен! Не удалось проверить сертификат! Немедленно уходим!»

Или вы можете «забыть» переделать ваши внутренние ссылки на сайте. Ведь после переезда они перестанут работать, соответственно вес сайта будет распределяться неправильно.

Или могут заблокировать организацию, которая выдала вам SSL сертификат. Тут уже не будет никакой вашей вины. Заблокировать сертификатора может даже Роскомнадзор за какую-нибудь провинность. И тогда ваш сертификат «обнулится», и опять «на дворе мочало – начинай с начала».

Резюмируем так: если у вас обычный блог или информационный сайт, то переезд на SSL ТОЧНО не принесет вам никакой пользы и выгоды, и ТОЧНО нанесет вам временный ущерб (а в половине случаев – постоянный ущерб).

Отсюда еще один интересный вопрос, чтобы закончить тему. Если SSL – это такая мутная штука, которая непонятно как выстрелит – почему тогда вокруг столько шума о необходимости немедленного переезда на https?

Кому выгодно, чтобы у вас был SSL?

Как всегда, если какая-то мистификация получает широкое распространение – значит есть те, кому это выгодно.

В нашем случае это многочисленные хостер-провайдеры, которые сразу почуяли запах денег. Одно дело – брать с вас деньги каждый год только за хостинг, а другое – еще и за SSL сертификат. Естественно они будут уверять всех и вся, что SSL – это жизненная необходимость. Вон, мол, сам Гугл это подтверждает.

Мне часто пишут вебмастера с вопросами про этот SSL. И говорят, что впали в паническое состояние после какой-нибудь веб-конференции, где им рассказывали про преимущества SSL. После пары вопросов всегда выясняется, что данный доклад делали представители компании, которая как раз занимается продажами SSL-сертификатов. Кто бы мог подумать.

Тут я не могу удержаться и не показать вам одно видео от компании, занимающейся продажами SSL. Это просто шедевр трэш-контента = ) И по этому видео прекрасно видно, как такие хостинг-провайдеры относятся к своим клиентам – как к безмозглым животным ))

Заключение

Конечно, только вам решать, нужен вам SSL сертификат или нет. Я могу только кратко резюмировать:

  • SSL – действительно хороший способ шифрования, который пока на практике никому не удалось взломать;
  • Наличие SSL сертификата не гарантирует, что сайт безопасен. На нем могут быть вирусы и вредоносные программы, которые перехватывают данные до отправки на сервер;
  • Если вы занимаетесь электронной коммерцией, то вам обязательно надо ставить SSL сертификат (либо для совершения транзакций отправлять посетителей на сторонний защищенный ресурс платежной системы, как это делаю, например, я);
  • Гугл не помечает сайт без SSL как «небезопасные», и не будет этого делать, потому что так он навредит сам себе;
  • Наличие SSL никак не влияет на положение в поисковой выдаче вашего сайта;
  • При переезде с «http» на «https» очень высока вероятность где-нибудь ошибиться, и тогда ваш сайт может вообще никогда до конца не восстановить свои позиции;
  • Больше всего паники среди вебмастеров наводят хостер-провайдеры, потому что они зарабатывают деньги на продаже SSL-сертификатов.

Другими словами – если у вас новый сайт и вам нечего терять, то вы можете спокойно сразу сделать его на https. Главное купите его у надежного провайдера. А то поставщиков разных бесплатных SSL скорее заблокируют, и вам тогда будет очень плохо.

А если у вас ресурс уже раскручен и вы не принимаете платежи непосредственно на сайте – скорее всего он вам и даром не нужен. Пишите статьи и выходите в ТОП без него. А можете просто использовать отдельный сайт на «https» для приема платежей.

Надеюсь, статья была для вас полезной. Не забудьте скачать мою книгу «Автостопом к миллиону». Там я показываю вам самый быстрый путь с нуля до первого миллиона в интернете (выжимка из личного опыта за 10 лет = )

До скорого!

Ваш Дмитрий Новосёлов


novoseloff.tv

Что такое SSL и TLS

Secure Socket Layer или ssl это, технология, призванная сделать доступ к сайтам более надежным и безопасным. Сертификат шифрования позволяет, надежно защитить трафик, передаваемый между браузером пользователя и веб ресурсом (сервером), к которому браузер обращается, все это происходит за счет протокола https. Сделано, это все после того, как бурное развитие интернета привело к огромному количеству сайтов и ресурсов, которые требуют от пользователя ввод личных, персональных данных:

  • Пароли
  • Номера кредитных карт
  • Переписка

Именно эти данные и являются добычей для хакеров, сколько уже было громких дел, с кражей персональной информации и сколько еще будет, ssl сертификат шифрования, призван это минимизировать. Разработкой технологии SSL выступила компания Netscape Communications, позднее она представила Transport Layer Security или проще TLS, это протокол основанный по спецификации SSL 3.0. И Secure Socket Layer и Transport Layer Security призваны обеспечить передачу данных между двумя узлами по интернету.

SSL и TLS не имеют принципиальных различий в своей работе, могут даже быть использованы на одном сервере одновременно, делается это исключительно из соображений обеспечения работы новых устройств и браузеров, так и устаревших, где Transport Layer Security не поддерживается.

Для примера откройте сайт Яндекса, я это делаю в Google Chrome, там на против адресной строки есть значок замка, щелкаем по нему. Тут будет написано, что подключение к веб-сайту защищено и можно нажать подробнее.

сертификат открытого ключа шифрования-1

сразу видим значок Secure TLS connection, как я и говорил, большая часть интернет ресурсов именно на этой технологии. Давайте посмотрим сам сертификат, для этого жмем View certificate.

сертификат открытого ключа шифрования-2

В поле о сведениях о сертификате видим его предназначение:

  1. Обеспечивает получение идентификации от удаленного компьютера
  2. Подтверждает удаленному компьютеру идентификацию вашего компьютера
  3. 1.2.616.1.113527.2.5.1.10.2

сертификат открытого ключа шифрования-3

История версий сертификатов шифрования

Всегда нужно знать историю, как сертификат шифрования эволюционировал и какие у него выходили версии. Так как зная это и принцип работы, будет проще искать решение проблем.

  • SSL 1.0 > данная версия в народ так и не попала, причины, возможно нашли его уязвимость
  • SSL 2.0 > эта версия ssl сертификата была представлена в 1995 году, на стыке тысячелетий, она так же была с кучей дыр безопасности, сподвигнувшие компанию Netscape Communications к работе над третье версией сертификата шифрования
  • SSL 3.0 > пришел на смену SSL 2.0 в 1996 году.  Стало это чудо развиваться и в 1999 году крупные компании Master Card и Visa купили коммерческую лицензию на его использование. Из 3.0 версии появился  TLS 1.0
  • TLS 1.0 > 99 год, выходит обновление SSL 3.0 под названием TLS 1.0, проходит еще семь лет, интернет развивается и хакеры не стоят на месте, выходит следующая версия.
  • TLS 1.1 > 04.2006  это его отправная точка, было исправлено несколько критичных ошибок обработки, а так же появилась защита от атак, где делался режим сцепления блоков шифротекста
  • TLS 1.2 > появился в августе 2008
  • TLS 1.3 > появится в конце 2016 года

История версий сертификатов шифрования

Принцип работы TLS и SSL

Давайте разбираться как работает протоколы SSL и TLS. Начнем с основ, все сетевые устройства имеют четко прописанный алгоритм общения друг с другом, называется он OSI, который порезан на 7 уровней. В ней есть транспортный уровень отвечающий за доставку данных, но так как модель OSI это некая утопия, то сейчас все работаю по упрощенной модели TCP/IP, из 4 уровней. Стек TCP/IP, сейчас стандарт передачи данных в компьютерных сетях и он включает в себя, большое количество известных вам протоколов прикладного уровня:

  • HTTP
  • FTP
  • SMTP

Список можно продолжать очень долго, так их более 200 наименований. Ниже представлена схема сетевых уровней.

Принцип работы TLS и SSL-1

Ну и схема стека SSL/TLS, для наглядности.

Принцип работы TLS и SSL-2

Теперь все тоже самое простым языком, так как не всем понятны эти схемы и принцип работы ssl и tls не понятен. Когда вы открываете например мой блог pyatilistnik.org, то вы обращаетесь по прикладному протоколу http, при обращении сервер видит вас и передает на ваш компьютер данные. Если это представить схематично, то это будет простая матрешка, прикладной протокол http, кладется в стек tcp-ip.

сертификат шифрования-1

Если бы на Pyatilistnik.org стоял бы сертификат шифрования TLS, то матрешка протоколов была бы посложнее и выглядела бы вот так. Тут прикладной протокол http, кладется в SSL/TLS, который в свою очередь кладется в стек TCP/IP. Все тоже самое, но уже зашифровано, и если хакер перехватит эти данные по пути их передачи, то получит всего навсего цифровой мусор, а вот расшифровать данные может только та машина, которая устанавливала соединение с сайтом.

сертификат шифрования-2

Этапы установки соединения SSL/TLS

Ssl что это такое. Принципы шифрования сертификатом

  1. Клиент обращается к серверу, устанавливая с ним соединение, далее запрашивается защищенное подключение, тут два варианта, если вы изначально обращаетесь на порт 443, который предназначен для TLS/SSL соединения, или после того как вы установили обычное подключение, клиент делает дополнительный запрос на защищенное соединение.
  2. Когда идет установка соединения, клиент говорит серверу, какие алгоритмы шифрования ему известны, сервер сравнивает его со своим списком алгоритмов шифрования и находит тот, который поддерживается обоими сторонами. Далее он говорит клиенту, что будет использоваться именно этот метод защиты. По умолчанию сервер будет стараться использовать самый современный алгоритм (SSLv3, TLSv1, TLSv1.1, TLSv1.2)
  3. После того, как определились с алгоритмами шифрования, сервер передает клиенту свой цифровой сертификат, который подписан вышестоящим, мировым центром сертификации и открытый ключ сервера.
  4. Клиент проверяет ликвидность полученного сертификата от сервера, для этого он обращается к центру сертификации, который его выдавал, и спрашивает есть ли у тебя такой сертификат, если все нормально, можно продолжать. Тут главное, чтобы сертификат не был отозван и вы доверяли корневому центру сертификации, выдавшим его, по умолчанию в операционной системе Windows, уже есть большое количество корневых сертификатов, которым вы доверяете, и они обновляются при установке новых обновлений в систему.tls сертификат
  5. Следующим этапом, после получения клиентом нужных ключей, начинается генерация сеансового ключа для защищенного соединения по принципу: Клиентом происходит генерация случайной цифровой последовательности, которую он шифрует с помощью открытого ключа полученного от сервера и отсылает результат шифрования на сервер. Полученный сеансовый ключ расшифровывается сервером с помощью его закрытого ключа, в виду того, что используется асимметричный алгоритм шифрования, то расшифровать последовательность полученную от клиента, может только сервер. Об алгоритмах шифрования мы еще поговорим ниже.
  6. Все защищенный канал настроен и будет работать до тех пор, пока не будет разорвано соединение.

Вот еще одна красивая и наглядная схема создания защищенного канала.

ssl сертификат безопасность

Установка соединения SSL/TLS на уровне сетевых пакетов

Ну и подробно про каждый этап обмена сетевых сообщений протоколов SSL/TLS.

  • 1. ClientHello > пакет ClientHello делает предложение со списком поддерживаемых версий протоколов, поддерживаемые наборы шифров в порядке предпочтения и список алгоритмов сжатия (обычно NULL). Еще от клиента приходит случайное значение 32 байта, его содержимое указывает отметку текущего времени, его позже будут использовать для симметричного ключа и идентификатора сессии, который будет иметь значение ноль, при условии, что не было предыдущих сессий.
  • 2. ServerHello > пакет  ServerHello, отсылается сервером, в данном сообщении идет выбранный вариант, алгоритма шифрования и сжатия. Тут так же будет случайное значение 32 байта (отметка текущего времени), его также используют для симметричных ключей. Если ID текущей сессии в ServerHello имеет значение ноль, то создаст и вернёт идентификатор сессии.  Если в сообщении ClientHello был предложен идентификатор предыдущей сессии, известный данному серверу, то протокол рукопожатия будет проведён по упрощённой схеме. Если клиент предложил неизвестный серверу идентификатор сессии, сервер возвращает новый идентификатор сессии и протокол рукопожатия проводится по полной схеме.
  • 3.Certificate (3) > в данном пакете сервер отправляет клиенту свой открытый ключ (сертификат X.509), он совпадает с алгоритмом обмена ключами в выбранном наборе шифров. Вообще можно сказать в протоколе, запроси открытый ключ в DNS, запись типа KEY/TLSA RR. Как я писал выше этим ключом будет шифроваться сообщение.
  • 4. ServerHelloDone > Сервер говорит, что сессия установилось нормально.
  • 5. ClientKeyExchange > Следующим шагом идет отсылка клиентом ключа pre-master key, используя случайные числа (или отметки текущего времени) сервера и клиента. Данный ключ (pre-master key) как раз и шифруется открытым ключом сервера. Данное сообщение может расшифровать только сервер, с помощью закрытого ключа. Теперь оба участника вычисляют общий секретный ключ master key из ключа pre-master.
  • 6. ChangeCipherSpec — клиент > смысл пакета, указать на то, что теперь весь трафик, который идет от клиента, будет шифроваться, с помощью выбранного алгоритма шифрования объёмных данных и будет содержать MAC, вычисленный по выбранному алгоритму.
  • 7. Finished — клиент > Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished. Оно шифруется с помощью алгоритма шифрования объемных данных и хэшируется с помощью алгоритма MAC, о которых договорились стороны. Если сервер может расшифровать и верифицировать это сообщение (содержащее все предыдущие сообщения), используя независимо вычисленный им сеансовый ключ, значит диалог был успешным. Если же нет, на этом месте сервер прерывает сессию и отправляет сообщение Alert с некоторой (возможно, неконкретной) информацией об ошибке
  • 8. ChangeCipherSpec — сервер > пакет, говорит, что теперь весь исходящий трафик с данного сервера, будет шифроваться.
  • 9.Finished — сервер > Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished
  • 10. Record Protocol (протокол записи) > теперь все сообщения шифруются ssl сертификатом безопасности

Установка соединения SSL-TLS на уровне сетевых пакетов

Как получить ssl сертификат безопасности

Давайте теперь поймем где взять сертификат шифрования, или как получить ssl сертификат безопасности. Способов конечно несколько, есть как платные, так и бесплатные.

Бесплатный способ получить tls сертификат безопасности

Этот способ, подразумевает использование самоподписного сертификата (self-signed), его можно сгенерировать на любом веб-сервере с ролью IIS или Apache. Если рассматривать современные хостинги, то в панелях управления, таких как:

  • Directadmin
  • ISPmanager
  • Cpanel

там это штатный функционал. Самый большой плюс в самоподписных сертификатах шифрования, это то, что они бесплатные и начинаются, сплошные минусы, так как никто кроме вас не доверяет этому сертификату, вы наверняка видели в браузерах вот такую картину, где сайт ругается на сертификат безопасности.

Ssl что это такое. Принципы шифрования сертификатом

Если у вас самоподписный сертификат, используется исключительно для внутренних целей, то это нормально, а вот для публичных проектов, это будет огромный минус, так как ему никто не доверяет и вы лишитесь большого числа клиентов или пользователей, которые у видя ошибку сертификата безопасности в браузере, сразу его закроют.

Давайте смотреть как можно получить ssl сертификат безопасности, для этого формируется запрос на выпуск сертификата, называется он CSR запрос (Certificate Signing Request). Делается это чаще всего у специальной компании в веб форме, которая спросит вас несколько вопросов, про ваш домен и вашу компанию. Как только вы все внесете, сервер сделает два ключа, приватный (закрытый) и публичный (открытый). Напоминаю открытый ключ не является конфиденциальным, поэтому вставляется в CSR запрос. Вот пример Certificate Signing Request запроса.

сертификат tls ssl

Все эти не понятные данные легко можно интерпретировать специальными CSR Decoder сайтами.

сертификат tls ssl-2

Состав CSR запроса

  • Common Name: доменное имя, которое мы защищаем таким сертификатом
  • Organization: название организации
  • Organization Unit: подразделение организации
  • Locality: город, где находится офис организации
  • State: область или штат
  • Country:двухбуквенный код, страны офиса
  • Email: контактный email технического администратора или службы поддержки

Как только Certificate Signing Request сгенерирован, можно начинать оформлять заявку на выпуск сертификата шифрования. Центр сертификации будет производить проверку, всех данных указанных вами в CSR запросе, и если все хорошо, вы получите свой ssl сертификат безопасности и вы его сможете использовать для https. Теперь ваш сервер, автоматом сопоставит выпущенный сертификат, со сгенерированным приватным ключом, все вы можете шифровать трафик подключения клиента к серверу.

Что такое центр сертификации

Что такое CA — Certification Authority или центр сертификации, читайте по ссылке слева, я подробно рассказал об этом там.

Какие данные содержит в себе SSL сертификат

В сертификате хранится следующая информация:

  • полное (уникальное) имя владельца сертификата
  • открытый ключ владельца
  • дата выдачи ssl сертификата
  • дата окончания сертификата
  • полное (уникальное) имя центра сертификации
  • цифровая подпись издателя

сертификат безопасности ssl сайта

Какие существуют виды SSL сертификатов шифрования

Основных видов сертификатов безопасности три:

  • Domain Validation — DV >  Это сертификат шифрования, который только подтверждает доменное имя ресурса
  • Organization Validation — OV > Это сертификат шифрования, который подтверждает организацию и домен
  • Extendet Validation — EV > Это сертификат шифрования, который имеет расширенную проверку

Назначение Domain Validation — DV

И так сертификаты шифрования, подтверждающие только домен ресурса, это самые распространенные в сети сертификаты, их делают всех быстрее, автоматически. Когда вам нужно проверить такой сертификат безопасности, отправляется email с гиперссылкой, кликая по которой подтверждается выпуск серта. Хочу отметить, что письмо вам отправят, только не подтвержденный email (approver email), указанный при заказе сертификата шифрования.

approver email так же имеет требования, логично, что если вы заказываете сертификаты шифрования для домена, то и электронный ящик должен быть из него, а не mail или rambler, либо он должен быть указан в whois домена и еще одно требование название approver email, должно быть по такому шаблону:

  • webmaster@ваш домен
  • postmaster@ваш домен
  • hostmaster@ваш домен
  • administrator@ваш домен
  • admin@

Сертификат tls-ssl подтверждающие доменное имя выпускаются, когда CA произвел валидацию того, что заказчик обладает правами на доменное имя, все остальное, что касается организации в сертификате не отображается.

Назначение Organization Validation — OV

Сертификаты шифрования tls-ssl, будет содержать название вашей организации, его получить частное лицо просто не сможет, его культурно пошлют регистрировать ИП. Делается он от 3 до десяти рабочих дней, все зависит от центра сертификации, который его будет выпускать.

Назначение Extendet Validation — EV

И так, вы направили CSR запрос на выпуск сертификата шифрования для вашей организации, CA начинает проверять, реально ли ИП рога и копыта существуют, как в CSR и принадлежит ли ей домен указанный в заказе.

  • Могут посмотреть есть ли организация международных желтых страницах, кто не знает, что это такое, то это телефонные справочники в Америке. Проверяют так не все CA.
  • Смотрят whois домена у вашей организации, делают это все центры сертификации, если в whois нет ни слова о вашей организации, то с вас будут требовать гарантийное письмо, что домен ваш.
  • Свидетельство о государственной регистрации ЕГРИП или ЕГРЮЛ
  • Могут проверить ваш номер телефона, запросив счет у вашей телефонной компании, в котором будет фигурировать номер.
  • Могут позвонить и проверить наличие компании по этому номеру, попросят к телефону человека указанного администратором в заказе, так что смотрите, чтобы человек знал английский.

Сам сертификат шифрования extendet Validation — EV, самый дорогой и получается всех сложнее, у них кстати есть green bar, вы его точно видели, это когда на сайте в адресной строке посетитель видит зеленую стоку с названием организации. Вот пример клиент банка от сбербанка.

 

сертификат шифрования green bar

К расширенным сертификатам шифрования (extendet Validation — EV) самое большое доверие, это и логично вы сразу видите, что компания существует и прошла жесткие требования к выдаче сертификата. SSL cертификаты extendet Validatio делаются CA, только при выполнении двух требований, что организация владеет нужным доменом и, что она сама существует в природе. При выпуске EV SSL сертификатов, существует строгий регламент, в котором описаны требования перед выпуском EV сертификата

  • Должен проверить правовую, физическую и операционную деятельности субъекта
  • Проверка организации и ее документов
  • Право владения доменом, организации
  • Проверить, что организация полностью авторизована для выпуска EV сертификата

Типы SSL сертификатов шифрования

Следующим важным вопросом, будет какие типы SSL — TLS сертификатов шифрования существуют, и их отличия и стоимость.

  • Обычные SSL сертификаты > это самые распространенные сертификаты, делаются автоматически, для подтверждения только домена. Стоят в среднем 18-22 доллара.
  • SGC сертификаты > это SSL — TLS сертификаты с поддержкой, более высокого уровня шифрования. Они в основном идут для старперных браузеров, у которых есть поддержка только 40-56 битное шифрование. SGC принудительно повышает уровень шифрования , до 128 бит, что в несколько раз выше. Так как XP доживает свои последние годы, скоро SGC сертификаты шифрования не будут нужны. Стоит это чудо около 300-ста баксов за год.
  • Wildcard сертификаты > Требуются, для субдоменов вашего основного домена. Простой пример мой блог pyatilistnik.org, если я покупаю Wildcard, то имею возможно его вешать на все домены 4 уровня у себя, *.pyatilistnik.org. Стоимость Wildcard сертификатов шифрования варьируется от количества поддоменов, от 190 баксов.
  • SAN сертификаты > Допустим у вас есть один сервер, но на нем хостятся много разных доменов, вот SAN сертификат можно повесить на сервер и все домены будут использовать его, стоит от 400 баксов в год.
  • EV сертификаты > про расширенные мы уже все обсудили выше, стоят от 250 баксов в год.
  • Сертификаты c поддержкой IDN доменов

список сертификатов, у которых есть такая поддержка, IDN доменов:

  • Thawte SSL123 Certificate
  • Thawte SSL Web Server
  • Symantec Secure Site
  • Thawte SGC SuperCerts
  • Thawte SSL Web Server Wildcard
  • Thawte SSL Web Server with EV
  • Symantec Secure Site Pro
  • Symantec Secure Site with EV
  • Symantec Secure Site Pro with EV

Полезные утилиты:

  1. OpenSSL — самая распространенная утилита для генерации открытого ключа (запроса на сертификат) и закрытого ключа.
    http://www.openssl.org/
  2. CSR Decoder — утилита для проверки CSR и данных, которые в нем содержаться, рекомендую использовать перед заказом сертификата.
    http://www.sslshopper.com/csr-decoder.html или http://certlogik.com/decoder/
  3. DigiCert Certificate Tester — утилита для проверки корректно самого сертификата
    http://www.digicert.com/help/?rid=011592
    http://www.sslshopper.com/ssl-checker.html

В будущих статьях, мы еще сами по настраиваем CA и будем на практике использовать SSL/TLS сертификаты шифрования.

pyatilistnik.org

Что такое SSL и TLS

SSL – (secure sockets layer – уровень защищённых сокетов) – набор правил с более безопасной связью, регламентирующих применение шифровальных (криптографических) преобразований и алгоритмов в информационных процессах.

TLS – (Transport Layer Security – безопасность транспортного уровня) – протокол, основанный на спецификации протокола SSL версии 3.0. Хотя имена SSL и TLS взаимозаменяемы, они всё-таки отличаются, так как каждое описывает другую версию протокола.

С терминологией более менее разобрались, теперь переходим к тому, как заставить наш сайт работать на https.

Для того, чтобы заставить наш веб-сервер принимать и обрабатывать https-соединение, необходимо установить в систему SSL сертификат.

SSL сертификат – уникальная цифровая подпись вашего сайта, основанная на двух типах криптографических ключей – приват и паблик.

Публичный ключ не является секретным и он присутствует в запросе.

Приватный ключ располагается на вашем сервере и должен быть известен только вам.

Помимо паблик ключа, в сертификате содержатся также и другие сведения: версия, серийный номер, время действия сертификата, издатель и другие данные.

В частности, время действия сертификата очень важно. Браузеры не будут считать ключ валидным, если время действия ключа еще не наступило или (что случается чаще) уже закончилось.

Более подробную информацию об уже установленном на сайте сертификате вы можете посмотреть с помощью специальных сервисов, таких как:

https://www.ssllabs.com/ssltest/index.html – он передоставит расширенную техническую информацию о сертификате.

https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp – проверит, насколько верно установлен сертификат.

Типы SSL сертификатов по валидации

Что такое SSL сертификат и зачем он нужен вроде разобрались ).

Теперь давайте разберем их типы по валидации:

  1. Самоподписанный сертификат. Оговорюсь сразу, данный вид сертификата НЕ подойдет 99% пользователям. Плюс у данного сертификата один – цена (он совершенно бесплатен). Самый весомый минус – при переходе на ваш сайт из поисковой системы или по любому другому заходу пользователю будут показаны вот такие сообщения:

    • В Chrome:

      предупреждение при бесплатном сертификате в Chrome

    • В Яндекс браузере:

      предупреждение при бесплатном сертификате в Яндекс браузере

    • В Opera:

      предупреждение при бесплатном сертификате в Opera

    • В Mozilla Firefox:

      предупреждение при бесплатном сертификате в Mozilla Firefox

    • Вид в адресной строке:

      Что такое ssl сертификат

    Цена: 0 руб.

  2. Валидация по домену (Domain Validated) – SSL-сертификат, при оформлении которого производится только проверка доменного имени. Также данные сертификаты называют сертификатами начального уровня доверия. Подойдут практически 90% владельцев сайтов. Являются самыми распространенными. Подходят как физическим, так и юридическим лицам. Выдача данного сертификата, как правило, производится в течение суток.

    Вид в адресной строке:

    Что такое ssl сертификат

    Цена: может колебаться от 800 руб./год до 3000 руб./год (хотя эта цифра не предел).

  3. Валидация организации (Organization Validation) – сертификат с повышенной надежностью. При выдаче сертификата производится проверка компании, проверяется не только право владения доменом и принадлежность веб-сайта организации, но и существование компании как таковой. Доступен только юридическим лицам. При выдаче данного сертификата могут быть запрошены следующие документы: свидетельство ИНН/КПП, свидетельство ОГРН, свидетельство о регистрации доменного имени, и.т.д.

    Вид в адресной строке:

    Что такое ssl сертификат

    Цена: может колебаться от 2000 руб./год до 35000 руб./год.

  4. Расширенная валидация (Extended Validation) – сертификат с самым высоким уровнем аутентификации между всеми типами SSL сертификатов. Не подойдет 99% «смертных» из-за своей цены и способа проверки. Предназначен для крупных корпораций. Доступен только юридическим лицам. Зеленая адресная строка браузера отображает название компании и обеспечивает визуальное подтверждение безопасности вашего сайта.

    Вид в адресной строке:

    Что такое ssl сертификат

    Цена: может колебаться от 12000 руб./год до 150000 руб./год.

  5. Еще существует отдельный вид сертификатов, о котором нельзя не сказать – это сертификаты Wildcard. Данный вид сертификата стоит выбрать, если у вас структура сайта представлена в виде поддоменов. Или требуется защита передаваемой информации на субдоменах. На некоторых хостингах данный вид представлен в виде опции.

    Цена: может колебаться от 1500 руб./год до 35000 руб./год.

    Также для реализации https соединения на некоторых хостингах требуется оплата выделенного IP, цена которого может быть равна
    1200 руб./год.

    Если у вас возникнут проблемы с установкой или выбором SSL сертификата, вы всегда можете обратиться к своей хостинг-компании или к нам (цена рассчитывается индивидуально).

    Теперь давай разберем, для чего вы прочитали 5716 байт предыдущего текста, и ответим на вопрос – для чего нам нужно переходить на https.

Для чего нужно переходить на https?

Причин несколько и все весомые:

  • Протокол https обеспечивает безопасность передаваемой информации.
  • С 2014 года наличие https соединения на сайте для поисковой системы Google является фактором ранжирования со знаком плюс. 
  • C начала 2017 года браузер Google Chrome версии 56 начнет помечать все HTTP-сайты, которые передают личные данные пользователей, как «небезопасные».

    браузер Google Chrome версии 56

  • Если вы владелец сайта, содержащего видео контент, то следующая информация для вас:

    Изменения в сервисе яндекс видео

Подходим к завершающей части и ответу на вопрос – как корректно переехать на https с минимальными потерями.

Инструкция по переезду на https

  1. Выбираем сезон, в котором посещение вашего сайта минимально (если ваш сайт не связан с тематикой «всё для праздника», то, возможно, лучшее время для вас – новогодние праздники, когда покупательская активность в Сети снижается). Проверить сезонность можно с помощью систем аналитики Google Analytics или Яндекс.Метрика.
  2. Выбираем подходящий нам SSL сертификат.
  3. Устанавливаем сертификат на хостинг, используя панель управления, доступ ssh или помощь администратора хостинга, при этом никаких редиректов с http не настраиваем.
  4. Открываем файл robots.txt и прописываем директиву host с протоколом https

    User-agent: Yandex

    Host: https://site.ru

  5. Далее переходим в Яндекс.Вебмастер с подтвержденными правами на сайт. Если такого нет, то подтверждаем права (следуя инструкции сервиса).
  6. Далее переходим в раздел Настройка индексирования – Переезд сайта. И выставляем чекбокс (галочку) напротив «Добавить HTTPS», после этого нажимаем «Сохранить».

    переезд сайта яндекс вебмастер

  7. После этого ждем пока изменения вступят в силу. Как правило, этот срок составляет 2 недели.
  8. Настраиваем 301 редирект со страниц http на https, при этом избегайте цепочек переадресации.
  9. Меняем все ссылки, имеющиеся в коде сайта, на https или делаем их относительными.
  10. Смотрим, чтобы в карте сайта .xml присутствовал только протокол https.
  11. Добавляем карту в Вебмастер.Яндекса.
  12. Добавляем все версии сайта в Google Search Console.
  13. Переходим в настройки сайта и выбираем Основной домен (если этого не было сделано раньше).

    настройки сайта в google webmaster

    выбор домена в google webmaster

  14. Переносим все настройки (если такие имелись) с версии сайта http на https.
  15. Инструмент изменения адресов не используем.

    Инструмент изменения адресов google webmaste

  16. Сразу после переноса сайта попробуйте обновить все входящие ссылки, в том числе: Внешние ссылки, Ссылки на профили, например в Google+, Facebook, Twitter, Vk и т.д.

Вот вроде и все. Если сомневаетесь, что справитесь своими силами, обращайтесь к нам. Посмотрим ваш сайт, сориентируем по стоимости и поможем с переездом.

1ps.ru

Сегодня мы бы хотели поделиться информацией, которая поможет вам сориентироваться в многообразии SSL-сертификатов, предлагаемых в настоящее время на рынке, и выбрать наиболее подходящий вам и наилучшим образом соответствующий вашим потребностям.

 

Какие типы SSL-сертификатов существуют?

 

  • DV — Domain Validation — для подтверждения домена;
  • OV — Organization Validation — для подтверждения организации и домена;
  • EV — Extended Validation — для расширенного подтверждения организации и домена.

 

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:

  • WildCard — подтверждает домен и все его поддомены следующего уровня;
  • SAN — подтверждает домены по списку, указанному при получении SSL-сертификата.

 

Зачем нужен SSL-сертификат?

Наличие на вашем сайте SSL-сертификата — вопрос не только статуса компании в интернет-пространстве или соответствия веб-сайта требованиям современных браузеров. Хотя выбор сертификата и не является самым ответственным шагом в работе над интернет-проектом, он имеет непосредственное отношение к безопасности вашей бизнес-инфраструктуры, а значит требует должного внимания.

Если вы читаете этот пост, то почти наверняка имеете некоторое представление о том, что такое сертификат SSL, и для чего он может понадобиться. Мы не будем раскрывать специфику работы этого инструмента, а сразу перейдём к практическим аспектам выбора в наиболее частых ситуациях.

Вряд ли большинство представителей компаний-владельцев сайтов, удостоверенных SSL-сертификатами, детально анализирует специфику работы последних. Обычно покупатель обращает внимание на бренд, под визой которого будет выпущен сертификат, и на цену услуги. Но есть и другие характеристики, влияющие на выбор. Рассмотрим их подробнее.

 

Какой SSL-сертификат выбрать?

Итак, мы определились с тем, что SSL-сертификаты различаются между собой не только брендом и ценой. Сегодняшний ассортимент предложений предусматривает широкий круг задач, для которых может потребоваться SSL.

Например, если вы просто хотите уберечь пользователей вашего веб-сайта от навязчивых предупреждений браузера о посещении непроверенного сайта, будет достаточно за несколько минут получить простой DV (Domain Validation) сертификат. Если же вы используете свою интернет-площадку для операций, требующих повышенного уровня сохранности данных компании и клиентов — стоит задуматься об EV (Extended Validation) сертификате. А если вы используете не один, а несколько веб-адресов для сайта или сайтов компании — для вас на рынке представлены сертификаты Wildcard и SAN.

 

Шифрование

Если не вдаваться в глубокие технические нюансы работы алгоритмов ECC, RSA или DSA, то существенные различия между ними едва ли можно обнаружить. Все эти алгоритмы шифрования соответствуют современным стандартам интернет-безопасности.

Единственное, на что здесь стоит обратить внимание — процедура генерации пары открытый/закрытый ключ, необходимых для подписи вашего сертификата.

Многие провайдеры предлагают, так называемые, онлайн-генераторы CSR-запроса. Для генерации таким сервисам необходимо также создать для вас пару открытый/закрытый ключ. Последний является конфиденциальным и не должен передаваться третьим лицам. Но соблюдение данного требования сделает работу CSR-генераторов технически невозможной, поэтому сервис так или иначе будет иметь доступ к вашему файлу секретного ключа. Если этот факт является для вас критичным, сгенерируйте запрос самостоятельно. Если для вас предпочтительнее использовать онлайн CSR-генератор, выбирайте только проверенные сервисы и обращайте внимание на подлинность сайта сервиса.

 

Каковы особенности типов SSL-сертификатов?

Рассмотрим подробнее виды предлагаемых сегодня на рынке SSL-сертификатов. Их отличия условно можно разделить на две группы

По методу проверки

  • Сертификаты с проверкой домена (Domain Validation — DV) подтверждают, что пользователь находится именно на том веб-сайте, на доменный адрес которого осуществил переход, то есть удостоверяет веб-сервер, который обслуживает сайт. Такой сертификат не содержит информации о компании-владельце сайта, а потому не может считаться достаточно безопасным для оказания коммерческих услуг. DV рекомендуется к использованию на площадках, где не требуется строгая гарантия безопасности.

    Так выглядит адресная строка пользовательского браузера при посещении им сайта с установленным DV-сертификата SSL. При щелчке на значке зашифрованного соединения отображается только информация о доменном имени, для которого выпущен сертификат:

    Details of the certificate: subject: CN = www.yourdomain.com

    domain_validation

  • Сертификаты с проверкой организации (Organization Validation — OV) являются подтверждением не только доменного имени, но и организации-владельца веб-сайта. Подлинность последней проверяется по регистрационным данным юридического лица, которые необходимо предоставить провайдеру SSL при заказе сертификата. OV-сертификаты на сегодняшний день, пожалуй, наиболее популярны среди клиентов.

    Так выглядит информация о сертификате в адресной строке посетителя сайта. Как вы видите, здесь отображена весьма подробная информация об организации-владельце сайта, позволяющая определить её подлинность.

    Details of the certificate: CN = www.yourdomain.com, O = Company Name, OU = Management, L = Moscow, S = MSK, C = RU

    organization_validation

  • Сертификат с расширенной проверкой (Extended Validation — EV) имеет самый высокий уровень доверия со стороны других интернет-узлов. Он является оптимальным решением для сайтов, работа которых требует строгой конфиденциальности передаваемых данных (например, при совершении финансовых транзакций). Само название этого типа сертификатов подразумевает расширенную периодическую проверку данных владельца сайта для предотвращения их подмены.

Примечание: при первоначальном внедрении SSL-сертификатов в глобальную сеть, центры сертификации предоставляли только сертификаты с проверкой данных организации. Появление типа Domain Validation — следствие коммерческого интереса, постепенно заставившего вендоров выпускать «упрощённые» сертификаты с проверкой только домена. Отчасти, это сыграло и продолжает играть на руку интернет-мошенникам, пользующимся тем, что обычно интернет-браузер не предупреждает пользователя о возможных проблемах с подлинностью сайта, если первоначально предоставленный этим сайтом сертификат будет иметь хотя бы минимальный уровень доверия.

 

EV-сертификат призван на борьбу с вышеописанной проблемой. Это достигается путём отображения непосредственно в адресной строке клиента информации об организации-владельце сайта в виде дополнительного ярлыка, выделенного зелёным цветом (Green Bar). Такой ярлык сложно не заметить. Теперь пользователю не обязательно кликать по иконке сертификата браузере для получения подробной информации о нём — самое важное подтверждение он получит, просто взглянув на адресную строку. Опция Green Bar поддерживается всеми популярными интернет-браузерами на всех актуальных операционных системах.

Примечание: опция Green Bar недоступна для DV- и OV-сертификатов. Ею удостоены только SSL-сертификаты с расширенной проверкой.

Ниже представлен пример отображения сведений об EV-сертификате в клиентском браузере.

example

example

Мы рассмотрели типы SSL-сертификатов по методу проверки сайта. Помимо этого различия, немаловажным является и разграничение сертификатов по сертифицируемым доменам. Этот параметр определяет список доменов (поддоменов) сайта, на которые будет распространяться приобретённый сертификат.

 

По сертифицируемым доменам

  • Сертификат на один домен (Single Certificate) — работает для одного доменного имени, указанного при заказе. То есть, например, домен yourcompany.com, для которого приобретён сертификат, будет защищён, но используемые поддомены (sub.yourcompany.com), при их наличии, уже не будут.
  • Wildcard SSL – может использоваться для домена, указанного при регистрации, и всех его поддоменов (sub1.yourcompany.com, sub2.yourcompany.com, sub3.yourcompany.com). Wildcard поддерживает и работу интернет-площадки на распределённых серверах.
  • UC (Unified Communications) или SAN (Subject Alternative Name) сертификаты могут использоваться сразу для нескольких или многих доменов и серверов.

 

Пара слов о стоимости покрытия

Часто для SSL-сертификата вендором предусмотрен такой параметр, как финансовая гарантия. Это значит, что центр сертификации гарантирует невозможность установить свой сертификат на неавторизованный сайт деньгами. В случае, если пользователь веб-сайта финансово пострадает в результате мошенничества вокруг SSL-сертификата, центр сертификации обязуется возместить этому пользователю его убытки в пределах указанной в гарантии суммы. Подобные случаи практически исключены, но тем не менее, наличие такой гарантии хорошо характеризует центр сертификации.

 

Выбор центра сертификации

Несмотря на жёсткую конкуренцию компаний-эмитентов сертификатов, весьма затруднительно выделить существенные различия между ними. Конечно, речь здесь идёт о общепризнанных мировых лидеров индустрии SSL-сертификации, например, Symantec, Comodo, RapidSSL или Thawte. Можно сказать, что в общем, явной разницы в уровне доверия к выпускаемым этими компаниями сертификатам нет. Однако такое различие может обнаружиться у вашего потенциального клиента, для которого знакомое название бренда может сказаться на отношении к вашему сайту.

 

1cloud.ru


You May Also Like

About the Author: admind

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.