TLS и SSL: Необходимый минимум знаний. SSL-сертификат: зачем нужен и где использовать

SSL – криптографический протокол, используемый при организации зашифрованного соединения между браузером и ресурсом. Только с протоколом SSL возможно использование в адресной строке https.

Какую защиту предоставляет протокол SSL, для чего нужен?

Пользователь при совершении интернет-покупок вводит личные данные (номер банковской карточки, серию, номер паспорта, адрес, телефон и т.п.). В случае использования незащищенного соединения все данные могут быть перехвачены злоумышленниками и использованы в личных целях. Сертификат SSL шифрует передаваемую информацию и делает невозможным посторонний доступ к ней.

Сведения клиентов без использования SSL-протокола остаются незащищенными. Помимо этого, при использовании общедоступного Wi-Fi соединения злоумышленник может перенаправить его на сайт-двойник с перехватом платежных данных, опубликовать свою рекламу.

Если соединение использует протокол защиты SSL, адрес ресурса начинается с обозначения запертого замка и зеленых символов https://. Пользователи могут быть уверены в безопасности сайта.SSL-сертификат помогает клиенту проверить сведения о владельцах сайта. Посетитель всегда сможет узнать, не является ли ресурс двойником используемого сайта.

Сертификаты защиты SSL используются на сайтах, где пользователи вводят персональную информацию и платежные данные. С ним ресурс защищен от появления клонов и подделок.

Виртуальный хостинг сайтов для популярных CMS:

Чем отличается платный SSL сертификат от бесплатного?

Платный нужен в таких случаях:

При создании банковских и финансовых сайтов с целью защиты личных данных клиентов.
При разработке онлайн-магазинов для надежности шифрования информации, передаваемой от посетителя.
При установке https-протокола на несколько доменов (поддоменов).
При желании установить на сайт адресную строку зеленого цвета. Она качественно выделяет ресурс среди конкурентов, демонстрируя название организации.
Платный SSL увеличивает быстроту отклика сайта.
Бесплатный протокол можно получить в разных центрах сертификации. Но уровень доверия у популярных браузеров к бесплатным сертификатам невысок. В случае возникновения сбоев или изменения политики поисковых систем и разработчиков браузеров – сайт, использующий бесплатный самоподписный сертификат, может быть отмечен, как опасный, или недоверенный. При этом, владелец сайта может даже и не узнать об этом, теряя посетителей, а, следовательно, и клиентов.
При покупке платного протокола Центр сертификации предоставляет юридические гарантии безопасности соединения, которые зависят от вида сертификата.
Бесплатные протоколы не применяются для создания сайтов с платежными системами, интернет-магазинов, банковских и микрофинансовых и иных ресурсов, где проводится прием платежей. Посетители увидят предупреждение, что используемый сертификат не является доверенным, их платежи не защищены.
Часть бесплатных SSL запрещается устанавливать на коммерческие сайты.
Выпуск бесплатных протоколов SSL – трудоемкая операция, часто выполняется за отдельную плату. Перевыпуск проводят с целью дополнений и изменений в сертификат.

Какая польза от использования SSL в интернет-магазинах?

Посетители интернет-магазина обращают внимание на безопасность соединения, желают удостовериться в защите передаваемой информации. Использование SSL предоставляет такие преимущества:

Шифрование персональной информации пользователя и сведения о его платежных картах.
Гарантию подлинности вебсайта фирмы.

На сегодняшний день, использование https-протокола – это рекомендация, и данные о том, что сайт не использует защищенное соединение показываются только в адресной строке бразуера, практически незаметно для пользователей:

В то же время сайты, которые однозначно должны работать по защищенному протоколу (например, на них производится онлайн-оплата через платежные сервисы, либо вводятся платежные или личные данные пользователей) в случае использования недоверенного сертификата могут потерять часть посетителей из-за более убедительного предупреждения. Вы бы вряд ли захотели посетить сайт, увидев такую рекомендацию:

Для каких сайтов необходимо использование SSL?

Ресурсов, занимающихся коммерческой деятельностью. Онлайн-продавцы должны обеспечить надежность шифрования и защиты данных. Если посторонние смогут увидеть конфиденциальные сведения, деятельность ресурса закончится плохо для владельца и клиентов.
Если посетитель регистрируется, вносит свои анкетные данные. Без использования SSL злоумышленники могут увидеть персональные данные. Это опасно для пользователей, которые зачастую применяют одни и те же логины-пароли для разных ресурсов. Преступнику не составит труда взломать личный кабинет финансового ресурса и перевести средства на другой счет (собственный). Все незащищенные пользовательские входы достаточно уязвимы.

Если ресурс не собирает никакие конфиденциальные сведения, SSL-защита ему не требуется. Если на интернет-ресурсе не предусмотрен вход пользователя, не выполняется передача платежных данных, достаточно использовать бесплатный сертификат SSL или продолжать работать по протоколу http.

В случаях, когда сфера деятельности ресурса связана с электронной коммерцией, крайне важно использовать высоконадежный SSL, подтвержденный проверенным центром сертификации.

Недостатки от внедрения SSL:

В течение следующих 3-4 недель – возможно снижение трафика из поисковых систем. Показатели восстановятся в течение следующего месяца. Изменения коснутся исключительно объемов поискового трафика. Рекламный от введения SSL не пострадает.
«Переезд» на https-протокол требует финансовых затрат. Эффективная защита возможна только при внедрении платного SSL-сертификата.

Зачем сайту нужен https протокол, какие еще плюсы он дает?

Не знаете, зачем лично вам переводить сайт на https-протокол? Сравните процент использования http и https протокола на сайтах, которые показываются на первой странице поисковой выдачи Google и рост этого процента за 2 года (по данным MOZ):

За два года этот показатель вырос в 5 раз. И скорее всего, эта тенденция сохранится. В своем блоге представители Google предполагают, что в следующих релизах Google Chrome сайты, не использующие https протокол, могут быть отмечены, как небезопасные. Этого мало? Вот еще несколько причин перейти на защищенный протокол.

Защита посетителей. Для уважающего себя ресурса, занимающегося коммерцией, защита покупателей входит в число главных приоритетов. Клиенты всегда обращают на это внимание, что сказывается на объемах продаж продукта. Сайты, загружаемые по протоколу https, находятся в поисковых системах на более высоких позициях.

Многие сервисы перед началом работы требуют обеспечения безопасного соединения для передачи данных. Это значит, что без использования SSL-протокола невозможно сотрудничество со многими сервисами, к примеру push-уведомления или Яндекс-касса.
Визуальная безопасность. В адресной строке ресурса появляется зеленый значок закрытого замка. Может прописываться название компании. Это дополнительно свидетельствует о защите данных, что подтверждает высокую надежность компании.

Вполне вероятно, что через несколько лет привычный всем протокол http не будет использоваться по причине небезопасности соединения. Все компании, информационные сайты и интернет-магазины будут использовать только https-протокол.

Как и где получить сертификат?

Найти компанию, занимающуюся созданием и реализацией SSL-сертификатов.
Заказать необходимый SSL.
Установить сертификат на свой ресурс. Это можно выполнить самостоятельно или привлечь к процессу техподдержку хостинга.

SSL-сертификат нужен для работы компаний, ресурсов, организаций и интернет-магазинов, в которые передаются любые персональные, платежные и конфиденциальные сведения клиента. Передача выполняется в момент соединения пользователя с сайтом компании. Также SSL-протокол играет важную роль в создании имиджа надежности ресурса, гарантирует клиентам полную безопасность.

Перед тем как приступить к разбору темы - маленькое отступление: в январе 2017 года сайт перешел на безопасный протокол https (и вам советует). Также предлагаем и вам помощь в переезде на безопасный протокол . Зачем? Как это сделать? И какой период лучше всего выбрать? Вот об этом сейчас и расскажем.

В статье пойдет речь о переезде сайтов на безопасный протокол HyperText Transfer Protocol Secure (https) . Тема на сегодняшний день считается «заезженной» и рассмотрена на многих ресурсах, но от этого она не становится менее актуальной. Читатели нашего блога и постоянные клиенты часто интересуются - как переехать на https? Зачем мне переходить на https? Нужен ли https для моего сайта? Чтобы ответить на все вопросы разом и помочь тем, кто все еще не разобрался в вопросе, мы и написали эту статью.

Для начала давайте разберемся, что такое https? HyperText Transfer Protocol Secure - это безопасный расширенный протокол http с ключом шифрования для передачи данных или гипертекста (термин «гипертекст» был введен в 1965 американский социологом, философом и первооткрывателем в области информационных технологий Нельсоном, Теодором Холмом), примером гипертекста являются веб-страницы - документы HTML.

HTTPS не является отдельным протоколом. Это обычный HTTP, работающий через шифрованные механизмы SSL и TLS.

Что такое SSL и TLS

SSL - (secure sockets layer - уровень защищённых сокетов) - набор правил с более безопасной связью, регламентирующих применение шифровальных (криптографических) преобразований и алгоритмов в информационных процессах.

TLS - (Transport Layer Security - безопасность транспортного уровня) - протокол, основанный на спецификации протокола SSL версии 3.0. Хотя имена SSL и TLS взаимозаменяемы, они всё-таки отличаются, так как каждое описывает другую версию протокола.

С терминологией более менее разобрались, теперь переходим к тому, как заставить наш сайт работать на https.

Для того, чтобы заставить наш веб-сервер принимать и обрабатывать https-соединение, необходимо установить в систему SSL сертификат.

SSL сертификат - уникальная цифровая подпись вашего сайта, основанная на двух типах криптографических ключей - приват и паблик.

Публичный ключ не является секретным и он присутствует в запросе.

Приватный ключ располагается на вашем сервере и должен быть известен только вам.

Помимо паблик ключа, в сертификате содержатся также и другие сведения: версия, серийный номер, время действия сертификата, издатель и другие данные.

В частности, время действия сертификата очень важно. Браузеры не будут считать ключ валидным, если время действия ключа еще не наступило или (что случается чаще) уже закончилось.

Более подробную информацию об уже установленном на сайте сертификате вы можете посмотреть с помощью специальных сервисов, таких как:

https://www.ssllabs.com/ssltest/index.html - он передоставит расширенную техническую информацию о сертификате.

https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp - проверит, насколько верно установлен сертификат.

Типы SSL сертификатов по валидации

Что такое SSL сертификат и зачем он нужен вроде разобрались).

Теперь давайте разберем их типы по валидации:

Самоподписанный сертификат. Оговорюсь сразу, данный вид сертификата НЕ подойдет 99% пользователям. Плюс у данного сертификата один - цена (он совершенно бесплатен). Самый весомый минус - при переходе на ваш сайт из поисковой системы или по любому другому заходу пользователю будут показаны вот такие сообщения:

Цена: 0 руб.

Валидация по домену (Domain Validated) - SSL-сертификат, при оформлении которого производится только проверка доменного имени. Также данные сертификаты называют сертификатами начального уровня доверия. Подойдут практически 90% владельцев сайтов. Являются самыми распространенными. Подходят как физическим, так и юридическим лицам. Выдача данного сертификата, как правило, производится в течение суток.

Вид в адресной строке:

Цена: может колебаться от 800 руб./год до 3000 руб./год (хотя эта цифра не предел).

Валидация организации (Organization Validation) - сертификат с повышенной надежностью. При выдаче сертификата производится проверка компании, проверяется не только право владения доменом и принадлежность веб-сайта организации, но и существование компании как таковой. Доступен только юридическим лицам. При выдаче данного сертификата могут быть запрошены следующие документы: свидетельство ИНН/КПП, свидетельство ОГРН, свидетельство о регистрации доменного имени, и.т.д.

Вид в адресной строке:

Цена: может колебаться от 2000 руб./год до 35000 руб./год .

Расширенная валидация (Extended Validation) - сертификат с самым высоким уровнем аутентификации между всеми типами SSL сертификатов. Не подойдет 99% «смертных» из-за своей цены и способа проверки. Предназначен для крупных корпораций. Доступен только юридическим лицам. Зеленая адресная строка браузера отображает название компании и обеспечивает визуальное подтверждение безопасности вашего сайта.

Вид в адресной строке:

Цена: может колебаться от 12000 руб./год до 150000 руб./год .

Еще существует отдельный вид сертификатов, о котором нельзя не сказать - это сертификаты Wildcard . Данный вид сертификата стоит выбрать, если у вас структура сайта представлена в виде поддоменов. Или требуется защита передаваемой информации на субдоменах. На некоторых хостингах данный вид представлен в виде опции.

Цена: может колебаться от 1500 руб./год до 35000 руб./год .

Также для реализации https соединения на некоторых хостингах требуется оплата выделенного IP, цена которого может быть равна
1200 руб./год .

Если у вас возникнут проблемы с установкой или выбором SSL сертификата, вы всегда можете обратиться к своей хостинг-компании или к нам (цена рассчитывается индивидуально).

Теперь давай разберем, для чего вы прочитали 5716 байт предыдущего текста, и ответим на вопрос - для чего нам нужно переходить на https.

Для чего нужно переходить на https?

Причин несколько и все весомые:

Подходим к завершающей части и ответу на вопрос - как корректно переехать на https с минимальными потерями.

Инструкция по переезду на https

Вот вроде и все. Если сомневаетесь, что справитесь своими силами, обращайтесь к нам . Посмотрим ваш сайт, сориентируем по стоимости и поможем с переездом.

При подготовке материала мы ориентировались на официальные источники Яндекса и Google. Однако, отмечу, что 20 марта 2017 г. в блоге Яндекса была опубликована новая информация по переезду на HTTPS . В связи с этим многим может показаться, будто Яндекс сообщает, о том, что нет необходимости соблюдать пункт №7 данной статьи. В материалах Яндекса это вопрос №4.

Однако обращаем ваше внимание, что в комментариях к этому же материалу Елена Першина (сотрудник компании Яндекс) отвечает Бакалову Игорю: «Редирект лучше настраивать, когда большая часть страниц http-версии будет исключена из поиска», что соответствует рекомендациям из пункту №7 настоящей статьи.

В последнее время только и говорят, что ssl сертификат влияет на выдачу, причем говорят об этом на каждом углу. Давайте в этой статье разберемся, зачем поисковые системы рекомендуют подключать ssl – сертификат для сайта, кому он нужен и каждый ли вебмастер обязан его установить.

Для начала установим, что же такое этот загадочный сертификат. Обратимся к определению: Secure Sockets Layer (или в народе SSL) – это протокол, который дает возможность установить полностью защищенное соединение между интернет – ресурсом и браузером. Это нужно для того, чтобы не дать сторонним образом вмешаться в соединение – перехватить данные, подделать или изменить. Происходит это за счет использования двух типов ключей приватного и публичного. Скрытый или приватный ключ хранится на сервере, а публичный предоставляется пользователю, который заходит на сайт со своего компьютера и своего браузера. Соответствие приватного и публичного ключа обеспечивает пользователю безопасность при использовании того интернет ресурса, на котором установлен данный сертификат.

Какие существуют виды ssl – сертификатов?

Существует три основных вида ssl – сертификатов:
1) Сертификат доверенного центра сертификации. Данный сертификат означает, что компания, которая использует сертификат предоставила центру сертификации свои полные данные – юр. адрес, контактные данные, инн, кпп, платежные реквизиты и прочие данные.

2) Сертификат недоверенного центра сертификации. Данный сертификат выдан неизвестным центром сертификации и ничего не гарантирует. Современные браузеры часто предупреждают пользователей, что на сайте установлен недоверенный сертификат и ресурс может красть и использовать в своих целях данные пользователя.
3) Самосозданный сертификат. Данный сертификат может сделать любой владелец ресурса и он просто сообщает владельцу, что мы такие – то, сами себе выписали сертификат. Данный сертификат как и недоверенный нигде особо не используется. Так как пользователя без его согласия браузер просто не пустит на сайт, использующий такой сертификат. Но, достаточно теории. Вернемся к основной проблеме, зачем нужен ssl сертификат.

SSL сертификат для сайта: как влияет на выдачу?

Разбираться в проблеме нужно с ее истоков. Для этого проанализируем новости авторитетных источников (чтобы не утруждать своих читателей я приведу лишь краткий вывод по анализу источников) и получим следующее. Шум о ssl сертификатах поднялся из – за того, что с начала 2014 года поисковая система Google полностью перешла на использование SSL сертификатов, поставив в приоритете безопасность пользователя. При этом Google вскользь упомянул, что наличие ssl сертификата на сайте будет благотворно влиять на ранжирование.

Сразу же возникает вопрос, это касается всех сайтов или только отдельных и специализированных. На основе анализа выдачи можно сказать, что такого вида сертификат необходим только для интернет – ресурсов, которые обязаны защищать соединение пользователя – это интернет магазины, платежные системы, банки и тому подобные сервисы. Если на ресурсе пользователь занимается приобретением товаров или услуг и производит оплату на том – же сайте, то сертификат такому сайту необходим. А для рядовых вебмастеров, которые занимаются информационными сайтами или содержат сайты, которые не предполагают оплату на самом ресурсе, такой сертификат не нужен. (Пример: Сайтам предпринимателей, которые занимается производством и реализацией срубов бань, запчастей и всех товаров, оплата которых не производится непосредственно на сайте, сертификат не нужен. При этом, если предприниматель занимается предоставлением банковских услуг, продает товары и принимает оплату прямо на своем сайте, то таким ресурсам сертификат необходим и Google будет учитывать наличие сертификата на таких сайтах).
Но, если вы не желаете подключать ssl сертификат, можно просто принимать оплату за услуги на специализированных сервисах, типа plati.ru, oplata.info и прочих, у которых есть подписанные ssl сертификаты.

При этом, возвращаясь к полезности ssl – сертификата нужно отметить одну важную деталь – сертификат гарантирует безопасность соединения, а пользователи больше предпочитают безопасные интернет – ресурсы, следовательно, каждая устойчивая компания должна получить ssl – сертификат.

Как получить SSL – сертификат?

Для этого нужно выполнить следующее:
1) Найти компанию, которая предоставляет возможность приобретения ssl сертификатов. Это может быть любой хостинг провайдер, например rackstore, их цены по ссылке http://rackstore.ru/ssl-sertificat.html или любая другая компания.
2) Заказать необходимый сертификат. Существует достаточное количество компаний – сертификаторов, описывать каждую нет смысла, так как у всех цели и потребности разные. Посмотрите виды сертификатов на специализированных форумах и выберите под ваши потребности.
3) Установить ssl – сертификат. Данную процедуру вы можете проделать как самостоятельно, так и воспользовавшись помощью хостинг – провайдера.

Таким образом подведем итоги статьи. Сертификат типа SSL необходим для малых и средних организаций, занимающихся деятельностью, предполагающей использование конфиденциальных данных клиента непосредственно в момент соединения клиента с интернет ресурсам. А также ssl сертификат – это вопрос имиджа, образа компании в сознании посетителя, как гарантирующей его полную безопасность.

Что такое SSL? Secure Sockets Layer, иногда называемые цифровыми сертификатами, используются для установления зашифрованного и защищенного соединения между интернет-браузером или компьютером пользователя, сервером или веб-сайтом и служат основой интернет-безопасности в мировой паутине. SSL-соединение защищает конфиденциальные данные, такие как данные кредитной карты, обмениваемые во время каждого посещения, который называется сеансом, от перехвата неавторизованных сторон и пользователей с неблагожелательными и хакерскими намерениями.

Что такое SSL и сертификат?

SSL — глобальная стандартная технология безопасности, обеспечивающая зашифрованную связь между веб-браузером и сервером. Большое количество пользователей онлайн-бизнеса и частных лиц используют SSL для снижения риска получения конфиденциальной информации (номера кредитных карт, имен пользователей, паролей, электронных писем) и защиты от похищения или вмешательства со стороны хакеров и похитителей личных данных.

Для создания безопасного соединения на веб-сервере устанавливается SSL-сертификат (также называемый цифровым сертификатом) и выполняет следующие базовые функции:

аутентифицирует адрес веб-сайта (это гарантирует посетителям, что они не находятся на фиктивном сайте);
шифрует передаваемые данные.

Недоверенный сертификат формирует ошибку при обращении к сайту «SSL Error».

Типы сертификатов

Существует большое количество различных типов сертификации SSL, основанных на количестве доменных имен или поддоменов, таких как:

Single — обеспечивает одно полное доменное имя или имя поддомена.
Подстановочный знак - охватывает одно доменное имя и неограниченное количество его поддоменов.
Multi-Domain — защищает несколько доменных имен.

И необходимый уровень валидации, например:

Проверка домена — этот уровень является наименее дорогим и охватывает базовое шифрование и проверку права собственности на регистрацию доменного имени. Этот тип сертификата обычно занимает от пары минут до нескольких часов.

Проверка организации — в дополнение к базовому шифрованию и проверке прав собственности на регистрацию доменного имени, определенные данные владельца (например, имя и адрес) аутентифицируются. Этот тип сертификата занимает от одного часа до нескольких дней.

Расширенная проверка — обеспечивает максимальную степень безопасности из-за тщательного изучения, которое проводится до выдачи этого сертификата (и строго указано в руководящих принципах, установленных управляющим консорциумом индустрии сертификации). Помимо владения регистрацией имени домена и аутентификации объекта, проверяется юридическое, физическое и оперативное существование объекта. Этот тип сертификата занимает от одного дня до нескольких недель.

Кому может понадобиться сертификат SSL?

Любое лицо или организация, которые используют свой сайт для запроса, получения, обработки, сбора, хранения или отображения конфиденциальной информации нуждаются в защите данных. Вот некоторые примеры этой информации:

логины и пароли;
финансовая информация (номера кредитных карт, банковские счета);
личные данные (имена, адреса, номера социального страхования, даты рождения);
конфиденциальная информация;
юридические документы и контракты;
списки клиентов;
медицинские записи.

Где можно получить сертификаты SSL?

Сертификаты выдаются органами сертификации организациям, которым доверяют проверку подлинности и легитимности любого объекта, запрашивающего сертификат.

Роль органа сертификации заключается в том, чтобы принимать сертификационные приложения, проверять их подлинность, выдавать сертификаты и сохранять информацию о состоянии выданных документов.

Также можно приобрести цифровые сертификаты у регистратора доменных имен или поставщика веб-сайтов.

При выборе поставщика очень важно учитывать ту информацию, что веб-браузеры пользователей хранят кешированный список доверенных центров сертификации в файле, поэтому если цифровой сертификат подписывается документом, которая не находится в «одобренном» списке, браузер отправит предупреждающее сообщение пользователю о том, что веб-сайт не заслуживает доверия и выдаст ошибку «Err SSL».

Как узнать, имеет ли сайт сертификат SSL? Есть четыре визуальных подсказки:

значок замка слева от URL-адреса;
префикс URL https вместо http;
гербовая печать;
зеленая адресная строка (когда выдается сертификат LK SSL).

Спецификация

SSL-сертификаты, как файлы данных в цифровом формате, связывают криптографический ключ с данными организации, такими как:

имя домена, сервера или хоста;
организационная принадлежность и местоположение.

Организации необходимо инсталлировать SSL-сертификат на веб-сервер, чтобы установить безопасный сеанс с браузерами, после чего весь передаваемый трафик будет безопасным.

Когда сертификат успешно установлен, протокол приложения изменится на HTTPS, где «S» означает «безопасный». В зависимости от типа сертификата, браузер будет показывать значок замка или зеленую полосу при посещении сайта, содержащего сертификат SSL.

Как работает SSL-сертификат?

Что такое SSL и за что отвечает эта технология? Сертификаты используют криптографию с открытым ключом, которая использует защиту из двух ключей, которые являются длинными строками произвольно сгенерированных чисел. Один из них именуется закрытым ключом, а второй — открытым, который известен серверу и доступен. Его можно использовать для шифрования любого сообщения. Если Пользователь №1 отправит сообщение Пользователю №2, он заблокирует его с помощью открытого ключа, но единственный способ дешифрования — разблокировка с помощью частного ключа Пользователя №2. Если хакер перехватывает сообщение до получения адресатом, он видит только криптографический код, который невозможно взломать.

Зачем нужен сертификат SSL?

SSL-сертификаты защищают конфиденциальную информацию (данные о кредитной карте, имена пользователей и пароли). Также выполняют следующий функционал:

Обеспечивает безопасность контента между серверами.
Увеличивает рейтинг в поисковой системе Google.
Повышает доверие клиентов.
Улучшает коэффициент конверсии.

Сертификаты SSL должны быть выданы из доверенного центра сертификации. Браузеры, ОС и мобильные гаджеты поддерживают список доверенных корневых сертификатов, которые должны присутствовать на машине конечного пользователя. Если сертификат не является доверенным, браузер будет предоставлять недоверенные сообщения об ошибках SSL конечному пользователю. В случае e-commerse такие сообщения о сбоях приводят к немедленному недоверию к веб-сайту, а организация рискуют потерять бизнес и доверие у большинства потребителей.

Центры сертификации

Компания GlobalSign известна как доверенный центр сертификации. Это обусловлено тем, что поставщики браузеров и операционные системы доверяют GlobalSign как законному центру сертификации, выдающему надежные SSL-сертификаты.
GlobalSign была основана в 1996 г. в Европе и остается одним из самых авторитетных центров сертификации в мире.

Цели использования сертификатов

Что такое SSL и каковы причины их применения? SSL является основой безопасного Интернета и защищает конфиденциальную информацию. MTS SSL обеспечивает конфиденциальность, критическую безопасность и целостность данных как для веб-сайтов, так и для личной информации пользователей.

Основная причина применения сертификации SSL состоит в том, чтобы хранить конфиденциальные данные, отправленные через сеть, в зашифрованном виде, чтобы прочесть ее мог исключительно получатель без доступа третьих лиц. Это важно, потому что информация, которую вы отправляете в Интернете, передается с компьютера на компьютер, чтобы добраться до целевого сервера. Любой компьютер, находящийся между вами и сервером, может видеть ваши номера кредитных и дебетовых карт, имена пользователей и пароли и другую конфиденциальную информацию, если он не зашифрован сертификатом. Когда используется SSL-protocol, информация становится абсолютно нечитаемой для всех пользователей, за исключением серверной части, на которую отправляется информация.

SSL обеспечивает аутентификацию

В дополнение к шифрованию сертификат SSL также обеспечивает аутентификацию. Это означает, что вы можете быть уверены, что отправляете информацию на нужный сервер. Почему это важно? Характер Интернета означает, что клиенты часто будут отправлять информацию через несколько компьютеров. Любой из этих ПК может фальсифицировать ваш веб-сайт. Этого можно избежать только с помощью надлежащей инфраструктуры открытого ключа и получения сертификата от надежного поставщика.

Почему провайдеры SSL важны?

Доверенные поставщики GWS RD SSL будут выдавать сертификат только проверенной компании, прошедшей несколько этапов проверок. Некоторые типы сертификатов, например EV SSL Certificates, требуют большей проверки, чем другие. Производители веб-браузеров проверяют, что поставщики RD SSL следуют определенным практикам и были проверены сторонним разработчиком, используя такой стандарт, как WebTrust.

SSL обеспечивает доверие

Веб-браузеры формируют визуальные сигналы, такие как значок блокировки или зеленая полоска, чтобы посетители знали, когда их соединение защищено.

HTTPS также защищает от фишинговых атак. Фишинг-адрес электронной почты отправляется преступником, который выдает свой ресурс за ваш сайт. Обычно письмо содержит ссылку на свой собственный сайт и использует атаку «человек в середине» для использования собственного доменного имени.

SSL требуется для соответствия требованиям PCI

Чтобы принять информацию о кредитной карте на своем веб-сайте, вы должны пройти определенные проверки, которые показывают, что вы соблюдаете стандарты индустрии платежных карт (PCI). Одно из требований - правильно использовать SSL-сертификат.

Недостатки

Есть ли недостатки в использовании сертификатов SSL? Стоимость — очевидный недостаток. Поставщикам необходимо построить надежную инфраструктуру и подтвердить свои данные. Высокая стоимость решения была снижена благодаря усилению конкуренции в отрасли и появлению таких поставщиков, как Let"s Encrypt.

Производительность — еще один недостаток SSL. Поскольку информация, которую вы отправляете, должна быть зашифрована сервером, требуется больше ресурсов на ее обработку. Разница в производительности заметна только для веб-сайтов с очень большим количеством посетителей и может быть сведена к минимуму с помощью специального оборудования.

В целом недостатки использования SSL немногочисленны, и преимущества намного перевешивают их. Правильное использование SSL-сертификатов поможет защитить клиентов и повысить доверие к ресурсу.

Добрый день, уважаемые подписчики, уверен, что в подавляющем большинстве вы слышали такие слова как сертификат безопасности или шифрования, либо SSL сертификат, и я уверен, что большинство из вас даже знает их назначение., если нет, то я вам об этом очень подробно расскажу на личных примерах, все как полагается, после этого вы уже будите более тонко понимать все рубежи безопасности, которые предоставляют нам SSL сертификаты, без них сейчас уже не возможно представить современный IT мир, с его банковскими переводами, электронной почтой smime или интернет магазинами.

Что такое SSL и TLS

Secure Socket Layer или ssl это, технология, призванная сделать доступ к сайтам более надежным и безопасным. Сертификат шифрования позволяет, надежно защитить трафик, передаваемый между браузером пользователя и веб ресурсом (сервером), к которому браузер обращается, все это происходит за счет протокола https. Сделано, это все после того, как бурное развитие интернета привело к огромному количеству сайтов и ресурсов, которые требуют от пользователя ввод личных, персональных данных:

Пароли
Номера кредитных карт
Переписка

Именно эти данные и являются добычей для хакеров, сколько уже было громких дел, с кражей персональной информации и сколько еще будет, ssl сертификат шифрования, призван это минимизировать. Разработкой технологии SSL выступила компания Netscape Communications, позднее она представила Transport Layer Security или проще TLS, это протокол основанный по спецификации SSL 3.0. И Secure Socket Layer и Transport Layer Security призваны обеспечить передачу данных между двумя узлами по интернету.

SSL и TLS не имеют принципиальных различий в своей работе, могут даже быть использованы на одном сервере одновременно, делается это исключительно из соображений обеспечения работы новых устройств и браузеров, так и устаревших, где Transport Layer Security не поддерживается.

Если рассматривать современный интернет, то там в качестве сертификата безопасности сервера и шифрования используется TLS, просто знайте это

Для примера откройте сайт Яндекса, я это делаю в Google Chrome, там на против адресной строки есть значок замка, щелкаем по нему. Тут будет написано, что подключение к веб-сайту защищено и можно нажать подробнее.

сразу видим значок Secure TLS connection, как я и говорил, большая часть интернет ресурсов именно на этой технологии. Давайте посмотрим сам сертификат, для этого жмем View certificate.

В поле о сведениях о сертификате видим его предназначение:

Обеспечивает получение идентификации от удаленного компьютера
Подтверждает удаленному компьютеру идентификацию вашего компьютера
1.2.616.1.113527.2.5.1.10.2

Всегда нужно знать историю, как сертификат шифрования эволюционировал и какие у него выходили версии. Так как зная это и принцип работы, будет проще искать решение проблем.

SSL 1.0 > данная версия в народ так и не попала, причины, возможно нашли его уязвимость
SSL 2.0 > эта версия ssl сертификата была представлена в 1995 году, на стыке тысячелетий, она так же была с кучей дыр безопасности, сподвигнувшие компанию Netscape Communications к работе над третье версией сертификата шифрования
SSL 3.0 > пришел на смену SSL 2.0 в 1996 году. Стало это чудо развиваться и в 1999 году крупные компании Master Card и Visa купили коммерческую лицензию на его использование. Из 3.0 версии появился TLS 1.0
TLS 1.0 > 99 год, выходит обновление SSL 3.0 под названием TLS 1.0, проходит еще семь лет, интернет развивается и хакеры не стоят на месте, выходит следующая версия.
TLS 1.1 > 04.2006 это его отправная точка, было исправлено несколько критичных ошибок обработки, а так же появилась защита от атак, где делался режим сцепления блоков шифротекста
TLS 1.2 > появился в августе 2008
TLS 1.3 > появится в конце 2016 года

Принцип работы TLS и SSL

Давайте разбираться как работает протоколы SSL и TLS. Начнем с основ, все сетевые устройства имеют четко прописанный алгоритм общения друг с другом, называется он OSI, который порезан на 7 уровней. В ней есть транспортный уровень отвечающий за доставку данных, но так как модель OSI это некая утопия, то сейчас все работаю по упрощенной модели TCP/IP, из 4 уровней. Стек TCP/IP, сейчас стандарт передачи данных в компьютерных сетях и он включает в себя, большое количество известных вам протоколов прикладного уровня:

Список можно продолжать очень долго, так их более 200 наименований. Ниже представлена схема сетевых уровней.

Ну и схема стека SSL/TLS, для наглядности.

Теперь все тоже самое простым языком, так как не всем понятны эти схемы и принцип работы ssl и tls не понятен. Когда вы открываете например мой блог сайт, то вы обращаетесь по прикладному протоколу http, при обращении сервер видит вас и передает на ваш компьютер данные. Если это представить схематично, то это будет простая матрешка, прикладной протокол http, кладется в стек tcp-ip.

Если бы на сайт стоял бы сертификат шифрования TLS, то матрешка протоколов была бы посложнее и выглядела бы вот так. Тут прикладной протокол http, кладется в SSL/TLS, который в свою очередь кладется в стек TCP/IP. Все тоже самое, но уже зашифровано, и если хакер перехватит эти данные по пути их передачи, то получит всего навсего цифровой мусор, а вот расшифровать данные может только та машина, которая устанавливала соединение с сайтом.

Этапы установки соединения SSL/TLS

Вот еще одна красивая и наглядная схема создания защищенного канала.

Установка соединения SSL/TLS на уровне сетевых пакетов

На иллюстрации, черные стрелки показывают сообщения, которые отправляются открытым текстом, синие - это сообщения, подписанные открытым ключом, а зеленые - это сообщения, отправленные с помощью шифрования объёмных данных и того MAC, о которых стороны договорились в процессе переговоров.

Ну и подробно про каждый этап обмена сетевых сообщений протоколов SSL/TLS.

1. ClientHello > пакет ClientHello делает предложение со списком поддерживаемых версий протоколов, поддерживаемые наборы шифров в порядке предпочтения и список алгоритмов сжатия (обычно NULL). Еще от клиента приходит случайное значение 32 байта, его содержимое указывает отметку текущего времени, его позже будут использовать для симметричного ключа и идентификатора сессии, который будет иметь значение ноль, при условии, что не было предыдущих сессий.
2. ServerHello > пакет ServerHello, отсылается сервером, в данном сообщении идет выбранный вариант, алгоритма шифрования и сжатия. Тут так же будет случайное значение 32 байта (отметка текущего времени), его также используют для симметричных ключей. Если ID текущей сессии в ServerHello имеет значение ноль, то создаст и вернёт идентификатор сессии. Если в сообщении ClientHello был предложен идентификатор предыдущей сессии, известный данному серверу, то протокол рукопожатия будет проведён по упрощённой схеме. Если клиент предложил неизвестный серверу идентификатор сессии, сервер возвращает новый идентификатор сессии и протокол рукопожатия проводится по полной схеме.
3.Certificate (3) > в данном пакете сервер отправляет клиенту свой открытый ключ (сертификат X.509), он совпадает с алгоритмом обмена ключами в выбранном наборе шифров. Вообще можно сказать в протоколе, запроси открытый ключ в DNS, запись типа KEY/TLSA RR. Как я писал выше этим ключом будет шифроваться сообщение.
4. ServerHelloDone > Сервер говорит, что сессия установилось нормально.
5. ClientKeyExchange > Следующим шагом идет отсылка клиентом ключа pre-master key, используя случайные числа (или отметки текущего времени) сервера и клиента. Данный ключ (pre-master key) как раз и шифруется открытым ключом сервера. Данное сообщение может расшифровать только сервер, с помощью закрытого ключа. Теперь оба участника вычисляют общий секретный ключ master key из ключа pre-master.
6. ChangeCipherSpec - клиент > смысл пакета, указать на то, что теперь весь трафик, который идет от клиента, будет шифроваться, с помощью выбранного алгоритма шифрования объёмных данных и будет содержать MAC, вычисленный по выбранному алгоритму.
7. Finished - клиент > Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished. Оно шифруется с помощью алгоритма шифрования объемных данных и хэшируется с помощью алгоритма MAC, о которых договорились стороны. Если сервер может расшифровать и верифицировать это сообщение (содержащее все предыдущие сообщения), используя независимо вычисленный им сеансовый ключ, значит диалог был успешным. Если же нет, на этом месте сервер прерывает сессию и отправляет сообщение Alert с некоторой (возможно, неконкретной) информацией об ошибке
8. ChangeCipherSpec - сервер > пакет, говорит, что теперь весь исходящий трафик с данного сервера, будет шифроваться.
9.Finished - сервер >Это сообщение содержит все сообщения, отправленные и полученные во время протокола рукопожатия, за исключением сообщения Finished
10. Record Protocol (протокол записи) > теперь все сообщения шифруются ssl сертификатом безопасности

Как получить ssl сертификат безопасности

Давайте теперь поймем где взять сертификат шифрования, или как получить ssl сертификат безопасности. Способов конечно несколько, есть как платные, так и бесплатные.

Бесплатный способ получить tls сертификат безопасности

Этот способ, подразумевает использование самоподписного сертификата (self-signed), его можно сгенерировать на любом веб-сервере с ролью IIS или Apache. Если рассматривать современные хостинги, то в панелях управления, таких как:

Directadmin
ISPmanager
Cpanel

там это штатный функционал. Самый большой плюс в самоподписных сертификатах шифрования, это то, что они бесплатные и начинаются, сплошные минусы, так как никто кроме вас не доверяет этому сертификату, вы наверняка видели в браузерах вот такую картину, где сайт ругается на сертификат безопасности.

Если у вас самоподписный сертификат, используется исключительно для внутренних целей, то это нормально, а вот для публичных проектов, это будет огромный минус, так как ему никто не доверяет и вы лишитесь большого числа клиентов или пользователей, которые у видя ошибку сертификата безопасности в браузере, сразу его закроют.

Давайте смотреть как можно получить ssl сертификат безопасности, для этого формируется запрос на выпуск сертификата, называется он CSR запрос (Certificate Signing Request). Делается это чаще всего у специальной компании в веб форме, которая спросит вас несколько вопросов, про ваш домен и вашу компанию. Как только вы все внесете, сервер сделает два ключа, приватный (закрытый) и публичный (открытый). Напоминаю открытый ключ не является конфиденциальным, поэтому вставляется в CSR запрос. Вот пример Certificate Signing Request запроса.

Все эти не понятные данные легко можно интерпретировать специальными CSR Decoder сайтами.

Примеры двух сайтов CSR Decoder:

http://www.sslshopper.com/csr-decoder.html
http://certlogik.com/decoder/

Состав CSR запроса

Common Name: доменное имя, которое мы защищаем таким сертификатом
Organization: название организации
Organization Unit: подразделение организации
Locality: город, где находится офис организации
State: область или штат
Country:двухбуквенный код, страны офиса
Email: контактный email технического администратора или службы поддержки

Как только Certificate Signing Request сгенерирован, можно начинать оформлять заявку на выпуск сертификата шифрования. Центр сертификации будет производить проверку, всех данных указанных вами в CSR запросе, и если все хорошо, вы получите свой ssl сертификат безопасности и вы его сможете использовать для https. Теперь ваш сервер, автоматом сопоставит выпущенный сертификат, со сгенерированным приватным ключом, все вы можете шифровать трафик подключения клиента к серверу.

Что такое центр сертификации

Что такое CA - Certification Authority или центр сертификации, читайте по ссылке слева, я подробно рассказал об этом там.

Какие данные содержит в себе SSL сертификат

В сертификате хранится следующая информация:

полное (уникальное) имя владельца сертификата
открытый ключ владельца
дата выдачи ssl сертификата
дата окончания сертификата
полное (уникальное) имя центра сертификации
цифровая подпись издателя

Какие существуют виды SSL сертификатов шифрования

Основных видов сертификатов безопасности три:

Domain Validation - DV > Это сертификат шифрования, который только подтверждает доменное имя ресурса
Organization Validation - OV > Это сертификат шифрования, который подтверждает организацию и домен
Extendet Validation - EV > Это сертификат шифрования, который имеет расширенную проверку

Назначение Domain Validation - DV

И так сертификаты шифрования, подтверждающие только домен ресурса, это самые распространенные в сети сертификаты, их делают всех быстрее, автоматически. Когда вам нужно проверить такой сертификат безопасности, отправляется email с гиперссылкой, кликая по которой подтверждается выпуск серта. Хочу отметить, что письмо вам отправят, только не подтвержденный email (approver email), указанный при заказе сертификата шифрования.

approver email так же имеет требования, логично, что если вы заказываете сертификаты шифрования для домена, то и электронный ящик должен быть из него, а не mail или rambler, либо он должен быть указан в whois домена и еще одно требование название approver email, должно быть по такому шаблону:

webmaster@ваш домен
postmaster@ваш домен
hostmaster@ваш домен
administrator@ваш домен
admin@

Я обычно беру ящик postmaster@ваш домен

Сертификат tls-ssl подтверждающие доменное имя выпускаются, когда CA произвел валидацию того, что заказчик обладает правами на доменное имя, все остальное, что касается организации в сертификате не отображается.

Назначение Organization Validation - OV

Сертификаты шифрования tls-ssl, будет содержать название вашей организации, его получить частное лицо просто не сможет, его культурно пошлют регистрировать ИП. Делается он от 3 до десяти рабочих дней, все зависит от центра сертификации, который его будет выпускать.

Назначение Extendet Validation - EV

И так, вы направили CSR запрос на выпуск сертификата шифрования для вашей организации, CA начинает проверять, реально ли ИП рога и копыта существуют, как в CSR и принадлежит ли ей домен указанный в заказе.

Могут посмотреть есть ли организация международных желтых страницах, кто не знает, что это такое, то это телефонные справочники в Америке. Проверяют так не все CA.
Смотрят whois домена у вашей организации, делают это все центры сертификации, если в whois нет ни слова о вашей организации, то с вас будут требовать гарантийное письмо, что домен ваш.
Свидетельство о государственной регистрации ЕГРИП или ЕГРЮЛ
Могут проверить ваш номер телефона, запросив счет у вашей телефонной компании, в котором будет фигурировать номер.
Могут позвонить и проверить наличие компании по этому номеру, попросят к телефону человека указанного администратором в заказе, так что смотрите, чтобы человек знал английский.

Сам сертификат шифрования extendet Validation - EV, самый дорогой и получается всех сложнее, у них кстати есть green bar, вы его точно видели, это когда на сайте в адресной строке посетитель видит зеленую стоку с названием организации. Вот пример клиент банка от сбербанка.

К расширенным сертификатам шифрования (extendet Validation - EV) самое большое доверие, это и логично вы сразу видите, что компания существует и прошла жесткие требования к выдаче сертификата. SSL cертификаты extendet Validatio делаются CA, только при выполнении двух требований, что организация владеет нужным доменом и, что она сама существует в природе. При выпуске EV SSL сертификатов, существует строгий регламент, в котором описаны требования перед выпуском EV сертификата

Должен проверить правовую, физическую и операционную деятельности субъекта
Проверка организации и ее документов
Право владения доменом, организации
Проверить, что организация полностью авторизована для выпуска EV сертификата

SSL cертификаты extendet Validatio выпускаются примерно от 10-14 дней, подходят как для некоммерческих организаций, так и для государственных учреждений.

Типы SSL сертификатов шифрования

Следующим важным вопросом, будет какие типы SSL - TLS сертификатов шифрования существуют, и их отличия и стоимость.

Обычные SSL сертификаты > это самые распространенные сертификаты, делаются автоматически, для подтверждения только домена. Стоят в среднем 18-22 доллара.
SGC сертификаты > это SSL - TLS сертификаты с поддержкой, более высокого уровня шифрования. Они в основном идут для старперных браузеров, у которых есть поддержка только 40-56 битное шифрование. SGC принудительно повышает уровень шифрования, до 128 бит, что в несколько раз выше. Так как XP доживает свои последние годы, скоро SGC сертификаты шифрования не будут нужны. Стоит это чудо около 300-ста баксов за год.
Wildcard сертификаты > Требуются, для субдоменов вашего основного домена. Простой пример мой блог сайт, если я покупаю Wildcard, то имею возможно его вешать на все домены 4 уровня у себя, *.сайт. Стоимость Wildcard сертификатов шифрования варьируется от количества поддоменов, от 190 баксов.
SAN сертификаты > Допустим у вас есть один сервер, но на нем хостятся много разных доменов, вот SAN сертификат можно повесить на сервер и все домены будут использовать его, стоит от 400 баксов в год.
EV сертификаты > про расширенные мы уже все обсудили выше, стоят от 250 баксов в год.
Сертификаты c поддержкой IDN доменов

список сертификатов, у которых есть такая поддержка, IDN доменов:

Thawte SSL123 Certificate
Thawte SSL Web Server
Symantec Secure Site
Thawte SGC SuperCerts
Thawte SSL Web Server Wildcard
Thawte SSL Web Server with EV
Symantec Secure Site Pro
Symantec Secure Site with EV
Symantec Secure Site Pro with EV

Полезные утилиты:

OpenSSL - самая распространенная утилита для генерации открытого ключа (запроса на сертификат) и закрытого ключа.
http://www.openssl.org/
CSR Decoder - утилита для проверки CSR и данных, которые в нем содержаться, рекомендую использовать перед заказом сертификата.
http://www.sslshopper.com/csr-decoder.html или http://certlogik.com/decoder/
DigiCert Certificate Tester - утилита для проверки корректно самого сертификата
http://www.digicert.com/help/?rid=011592
http://www.sslshopper.com/ssl-checker.html

В будущих статьях, мы еще сами по настраиваем CA и будем на практике использовать SSL/TLS сертификаты шифрования.

Возможно, будет полезно почитать: