Для безопасной передачи данных между браузером пользователя и сервером используется инфраструктура ключей, которая позволяет шифровать передаваемую информацию с помощью открытого ключа (известен всем) и расшифровывать её с помощью закрытого (известен только его владельцу), что называется асимметричным шифрованием. Сама эта инфраструктура подчиняется международному стандарту x.509, который определяет состав электронного сертификата:
- номер версии сертификата (1-3);
- порядковый номер;
- идентификатор алгоритма подписи;
- имя организации, выдавшей сертификат;
- срок действия сертификата;
- имя владельца сертификата;
- открытый ключ владельца сертификата;
- цифровая подпись.
Стандарт x.509 не предусматривает конкретный алгоритм шифрования, однако наиболее распространённым является RSA, именно он и используется в SSL-сертификатах.
Читайте также: Как запустить сайт на локальном компьютере
Перед тем, как выбирать сертификат, неплохо бы разобраться, зачем они нужны и какие функции выполняют.
Любой SSL-сертификат выполняет сразу три важные функции:
- шифрование передаваемой информации;
- проверка подлинности ресурса (аутентификация);
- обеспечение целостности передаваемой информации.
Таким образом, пользователю показывается, что веб-ресурсу, к которому подключён сертификат, можно доверять.
Чтобы понять, как работают эти три функции SSL-сертификатов, рассмотрим простой пример. Девочке Ане необходимо купить билет на самолёт через сайт авиакомпании, а для этого — отправить данные своей кредитной карты. Чтобы быть уверенной, что её данные не перехватят сторонние лица, Аня проверяет наличие SSL-сертификата на сайте выбранной авиа-компании.
Сделать это просто: достаточно убедиться, что в начале адресной строки есть обозначение https-соединения, выделенного, как правило, зелёным цветом. Именно оно подтверждает, что данные между браузером пользователя и сервером компании шифруются. В данном случае авиакомпания обладает двумя ключами: открытым, который доступен всем, и закрытым, который знает только она. Расшифровать сообщение, зашифрованное открытым ключом, можно только при помощи закрытого ключа, а зашифрованное закрытым — открытым ключом.
Если SSL-сертификат компании, которую выбрала наша путешественница был выдан действующим сертификационным центром, то браузер Ани распознаёт его как доверенный (аутентификация) и при помощи открытого ключа зашифрует её данные. Даже если злоумышленник перехватит переданную Аней информацию, прочесть он её не сможет, так как не обладает закрытым ключом для её расшифровки.
Самоподписные SSL-сертификаты
Получение SSL- сертификата, разумеется, стоит денег, при этом действует он ограниченное количество времени. Поэтому многие используют так называемые самоподписные SSL-сертификаты. Сгенерировать их можно с помощью панели управления хостингом прямо на веб-сервере, причём сделать это можно совершенно бесплатно. Однако, далеко не всегда целесообразно использовать самоподписной сертификат.
Любой браузер проверяет, выдан ли сертификат известным ему центром сертификации, и если нет (а это и есть случай самоподписного сертификата), то выдаёт на него ошибку и выводит на экран большую табличку с надписью “Сертификат безопасности сайта не является доверенным!”.
Такое сообщение наверняка отпугнёт потенциального клиента от ресурса, и тот захочет покинуть его, а владелец сайта в свою очередь потеряет значительную часть своей аудитории. Так что, если речь идёт о сайтах с большим трафиком или же интернет-магазинах, использовать самоподписанные SSL-сертификаты крайне не рекомендуется.
Такие опасности подстерегают каждого, кто не заботится о безопасном https-соединении. Тем не менее самозаверенные сертификаты вполне пригодны для внутреннего пользования: например, внутри небольшой организации, сотрудники которой добавили сертификат в доверенные, так как знают его происхождение. Также они подходят при использовании сервера Apache при разработке и тестировании приложений.
Уязвимости системы защиты с помощью SSL-сертификатов
Говоря о покупке SSL-сертификата важно понимать, что сам по себе он не является волшебной палочкой, при взмахе которой вы тут же избавляете себя от всех проблем, связанных с безопасностью сайта. Какими бы сложными ни были механизмы криптографического шифрования, последней инстанцией в инфраструктуре SSL-сертификатов всё равно являются люди, и, следовательно, все вопросы доверия упираются в человеческий фактор. Так, в сентябре 2015 года компания Symantec по ошибке своих сотрудников выпустила 164 нелегитимных сертификата для 76 доменных имен. Ещё один деликатный момент с использованием SSL-сертификатов — это хранение секретного ключа: спрятать его в сейфе, изолировав от внешнего мира, не получится, ведь он часто используется в процессе HTTPS-соединений, и есть вероятность взлома сервера в целях перехвата закрытого ключа. Виновником взлома может быть опять же человек — администратор сервера, который не смог по каким-либо причинам защитить сервер. Поэтому владельцы закрытых ключей часто устанавливают на них пароли.
Разновидности SSL-сертификатов
Если же вы решили приобрести SSL-сертификат у одного из центров сертификации, то следует разобраться, какие же их разновидности существуют. С первого взгляда выбрать себе SSL-сертификат из множества тех, что представлены сегодня на рынке довольно сложно: разница в цене может достигать 100 000 рублей, и не всегда понятно, какие из возможностей того или иного сертификата действительно нужны конкретно вашему проекту. Однако разобраться в этом можно, воспользовавшись четырьмя основными критериями, которые следует учитывать при покупке SSL-сертификата:
- желаемая степень доверия к ресурсу;
- количество доменов и поддоменов, для которых осуществляется покупка сертификата;
- вид субъекта, приобретающего сертификат: физическое или юридическое лицо;
- размер финансовых возможностей для приобретения сертификата.
Разберёмся сначала с первым пунктом.
Валидность вашего ресурса может быть подтверждена тремя различными степенями его проверки. Соответственно, существует три разных вида SSL-сертификата, различающихся по типу валидации:
- сертификаты, подтверждающие право владения доменом (Domain Validation);
- сертификаты, подтверждающие помимо домена юридическое существование организации (Organization Validation);
- сертификаты с расширенной проверкой организации (Extended Validation).
Domain Validation
DV сертификаты подтверждают только факт того, что именно владельцу сертификата действительно принадлежит данный домен и являются наиболее доступной разновидностью SSL-сертификатов. Данные сертификаты лучшего всего подойдут для форумов и небольших сайтов или блогов с не очень большим количеством посетителей.
SSL-сертификат такого уровня:
- обеспечивает только начальный уровень защиты;
- доступен физическим и юридическим лицам;
- не требует предоставление дополнительных документов;
- выпускается в течение 5-10 минут;
- обойдётся примерно в 1-4 тысячи рублей за год.
Organization Validation
OV-сертификат подтверждает бизнес-статус организации и вызывает куда больше доверия пользователей, чем DV-сертификат. Данный тип сертификата хорошо подойдёт для онлайн-магазина и другого небольшого интернет-бизнеса.
Сертификат уровня защиты OV:
- обеспечивает средний уровень защиты;
- выдаётся только юридическим лицам;
- для регистрации необходимо предоставить копии документов организации, счёт телефонной компании с указанным названием организации и номером телефона её владельца;
- выпускается в течение 1-5 дней;
- обойдётся примерно от 4 000 рублей до 50 000 рублей в год.
Читайте также: Как пользоваться конструкторами сайтов, или Станут ли облачные платформы альтернативой CMS
Extended Validation
SSL-сертификаты с расширенным уровнем проверки являются самыми надёжными, но и самыми дорогими. Хорошо подойдут для крупной и серьезной организации, для которой важны престиж и безопасность.
Сертификат уровня EV:
- предлагает самый высокий уровень защиты и наивысший уровень доверия среди других SSL-сертификатов
- выдаётся только юридическим лицам;
- для регистрации необходимы следующие дополнительные документы: свидетельство о постановке на учёт в налоговом органе, уведомление о регистрации юридического лица, извещение о регистрации в качестве страхователя и другие;
- поддерживает кириллические домены;
- выпускается в течение 3-10 дней.
- обойдётся примерно от 10 000 до 100 000 рублей в год.
Также после документальной проверки провайдер может позвонить по официально заявленному телефону организации, совершив тем самым дополнительный этап проверки. Зато после прохождения всего этого документооборота ваш сайт будет обладать самым высоким уровнем доверия, о чём будет свидетельствовать зелёная панелька с названием компании в адресной строке. По ней пользователи и смогут определить высокий бизнес статус компании, а при нажатии на панель узнать полные сведения об организации. Сертификаты этого типа служат отличной защитой от фишинга: из-за строгих требований верификации, злоумышленники не смогут пройти все этапы проверки, в результате чего “липовые” EV-сертификаты встречаются в крайне редких случаях.
Вы спросите какой сертификат выбрать? Всё зависит от направленности вашего сайта и вашего бюджета. Также нелишним будет посмотреть какими SSL-сертификатами пользуются ваши партнёры, конкуренты или более крупные сайты. Например, известный сервис для бронирования отелей ostrovok.ru использует PositiveSSL Wildcard сертификат от Comodo; в популярном интернет-магазине wildberries.ru используется SGC OV SSL Wildcard сертификат максимальной защищённости. На сайте Tinkoff.ru применяется сертификат EV SSL сертификат от регистрационного центра Thawte.
Читайте также: Создание сайта на WordPress: пошаговая видеоинструкция
Мы рекомендуем пользователям внимательно проверять название компании, так как мошенники могут создать "липовую" организацию с похожим названием и привязать к ней SSL-сертификат.
Что же делать, если необходимо защитить сразу несколько поддоменов или разных доменов, находящихся на одном сервере?
В этом случае необходимо будет приобрести SAN (UCC) сертификат, который отлично подойдёт для мульти-доменных проектов и продуктов MS Exchange. Для защиты только нескольких поддоменов существуют Wildcard-сертификаты. Приобретая такой сертификат, вы обеспечиваете шифрование не только основного домена, но и неограниченного количества поддоменов вида subdomain1.domain.com, subdomain2.domain.com и т.д. Однако не все провайдеры выпускают Wildcard-сертификаты с защитой основного домена, поэтому перед заказом стоит отдельно обратить на это внимание. Хотя основными преимуществами Wildcard-сертификата являются удобство и экономия (не нужно заботиться о сертификате на каждый поддомен и платить за него), тем не менее иногда дешевле всё же приобрести отдельные SSL-сертификаты на каждый поддомен, особенно если их не очень много.
Проведём небольшое сравнение крупных поставщиков SSL-услуг: Symantec, Thawte и Comodo. Несмотря на то, что по сути, все компании продают практически один и тот же продукт, есть значительные отличия в сервисе. Symantec обладает самой большой продлённой гарантией, достигающей 1 750 000 долларов. Данная сумма будет выплачена в качестве возмещения убытков, если Symantec нарушит условия гарантийных обязательств. Также, на вооружении компании есть антивирусная защита, которая осуществляет ежедневное сканирование страниц на вашем хосте, с целью выявления вредоносных программ. Но, стоит заметить, что и просят за этот функционал немало - у Symantec самые дорогие сертификаты из всех 3 представленных центров. Самые доступные сертификаты у Comodo, которые также предлагают сервис антивирусного сканирования и PCI-анализа. Thawte не предлагает каких-либо дополнительных функций и обладает средней из всех ценой за SSL-сертификат.
Хотелось бы отметить, что сегодня большинство владельцев сайтов приобретают SSL-сертификаты сразу же у хостинг-провайдеров. Несмотря на то, что они являются, по сути, посредниками, цена на сертификаты, за счёт больших объёмов продаж, может быть даже ниже чем у самого сертификационного центра!
Важно отметить, что не все сертификаты поддерживают IDN (Internationalized Domain Names). Вы можете подобрать себе сертификат с идеальным соотношением цены и качества, но, если вы приобретаете его для кириллического домена, совсем не факт, что он вам подойдёт. SSL-сертификаты с поддержкой IDN можно приобрести у таких компаний, как, например, GlobalSign, Thawte, Comodo или Symantec.
В заключение
Выбирая себе SSL-сертификат, обратите внимание, какие сертификаты установили ваши конкуренты и просто компании с идентичным продуктом, количеством аудитории и способом обмениваться с ней информацией. Учтите также, что приятным бонусом к покупке SSL-сертификата будет тот факт, что сайты с HTTPS-соединением ранжируются в поисковой системе Google выше остальных. Вдобавок к этому, как недавно сообщила компания Google, все сайты, не имеющие SSL-сертификатов и принимающие пароли и номера кредитных карт, будут помечаться в Google Chrome как небезопасные. Это ещё один довод в пользу того, чтобы задуматься о приобретении SSL-сертификата, тем более что сегодня HTTPS-соединение куда более доступно для пользователей, чем несколько лет назад, а некоторые компании предлагают выгодные акции и даже дарят сертификаты в качестве бонуса.