Выбираем цифровые SSL-сертификаты

Пользователи все чаще обращают внимание на URL и доверяют сайтам, которые защищают персональные данные. За этим стоит следить, ведь фишинговых атак становится все больше. Помогают и браузеры. Они проверят, защищено ли соединение с сервером, на котором зарегистрирован сайт, и предупреждают, если небезопасно оставлять на нем свои данные. Происходит это на основании проверки SSL-сертификата.

Как устроен SSL-сертификат?

Он зашифровывает соединение между браузером и сервером, на котором расположен открытый в браузере сайт. Без такой защиты данные, которые передаются по этому каналу, могут оказаться у мошенников. Необходимость SSL-сертификата хорошо видна при покупке в онлайн-магазине. Чтобы оплатить заказ, пользователь должен ввести платежные данные. Без подключенного SSL все введенные числа и слова можно перехватить — вплоть до CVV/CVC-кода банковской карты. Кстати, многие конструкторы сайтов помогают в настройках безопасного подключения. Например, в Sitebox от Mail.ru для бизнеса при создании своего онлайн-магазина предлагаются защищенные соединения с сервером.

Наличие протокола можно проверить в начале адресной строки браузера. Он автоматически поставит закрытый замок, если подтвердит рабочий SSL. Это значит, что ваше соединение защищено.

Из чего состоит сертификат?

В SSL указаны данные о владельце сертификата, срок его действия (время выдачи и окончания) и криптографические ключи, которые генерируется во время получения. Также прописана информация о центре сертификации, который выдал SSL.

Сертификат содержит два ключа — публичный и приватный. Первый публикуется в открытом доступе в CSR. Этот протокол дают при выдаче SSL. Публичный ключ можно посмотреть с помощью сервисов-декодеров. В нем содержатся данные об организации, домене, стране и т.д. Особое внимание стоит уделить стране, в ключе нужно указать ее двухбуквенный идентификатор. С этим бывают проблемы — из-за неправильных букв центр сертификации не выдаст SSL.

При чем тут HTTPS и почему он безопаснее HTTP?

Без протокола HTTP невозможно передать данные в сеть. Он осуществляет обмен между браузером и сервером в обоих направлениях. HTTP отвечает только за передачу — защитой данных он не занимается. Поэтому было создано расширение HTTPS — безопасный вариант передачи информации на сервер. SSL-сертификат нужен для того, чтобы помогать HTTPS шифровать данные. Без него протокол не работает.

Как с HTTP перейти на HTTPS?

Сначала нужно получить SSL-сертификат. После этого — проверить его настройки и установить на хостинг. Осталось подключить редирект с HTTP на новый защищенный протокол — HTTPS.

Получаем SSL-сертификат

Запрос на получение, проверка и выдача требуют много времени — от недели и больше. Если сертификат нужен сейчас, то выбирайте бесплатный вариант — самоподписной SSL. Он генерируется автоматически в любом хостинг-сервисе и достается бесплатно. Самоподписной SSL подходит для внутреннего использования или закрытых сайтов. Но при открытии публичных сайтов браузер распознает такой протокол и предупредит пользователя о возможной угрозе. Такое сообщение может отбить желание совершить покупку или посетить сайт, поэтому лучше купить сертификат. Заказать его можно в центре сертификации (СА).

Что такое центры сертификации?

Они проверяют организацию перед выдачей SSL и занимаются выпуском протоколов. Некоторые CA могут проверить только домен. Но более надежные центры смотрят на все данные и устраивают пару этапов проверки. Самоподписной сертификат не проверяется СА.

Браузер доверяет центрам сертификации. Он автоматически проводит проверку — смотрит на дату выдачи и дату окончания действия сертификата, выясняет, выдан ли он в известным СА. Если браузер видит, что HTTPS работает с проверенным SSL, появляется замок в адресной строке, и пользователя не предупреждают об угрозе.

Самым крупным центром сертификации является Symantec, в который входит три других СА. Все центры отличаются друг от друга лишь ценами и взаимодействием с браузерами. В дешевых СА список браузеров ограничен, хотя большая часть центров поддерживает все существующие программы. Список проверенных СА находится в настройках браузера.

Можно купить SSL прямо в одном из центров, но это выйдет дороже, чем у партнеров СА. Они проводят недорогие оптовые закупки сертификатов и продают клиентам по меньшим ценам.

Разновидности SSL

Их делят на два вида — по типу валидации и по свойствам сертификата.

По типу валидации

С подтверждением только домена

Эти сертификаты создаются быстро — СА проверяет, действительно ли организации принадлежит указанный в запросе домен. При составлении запроса на выдачу SSL важно не ошибиться с почтовым ящиком. Он должен находиться в самом домене или в его whois — любая почта не подойдет.

С валидацией компании (OV)

В SSL с подтверждением домена не будет указана информация об организации. В OV она прописывается, поэтому физическое лицо не может получить такой сертификат — только компания.

Как их выдают?

Проверка занимает до 10 дней. В СА следят, чтобы домен принадлежал организации, и чтобы она реально существовала.

Что могут проверить?

В зависимости от центра сертификации смотрят разные данные. Некоторые СА в поисках организации изучают международный телефонный справочник или свидетельство о регистрации. Все центры следят, чтобы название и наличие организации было указано в whois домена. Иногда могут попросить предоставить телефонную квитанцию с указанием номера компании или просто позвонить по нему.

SSL с углубленной проверкой (EV)

Для его получения центры проводят две проверки. Это самый дорогой и самый надежный сертификат. После его выдачи в адресной строке браузера появится зеленое поле с закрытым замком и названием СА, который выпустил сертификат. Это лучший знак безопасности соединения между браузером и сервером.

Каждая проверка организации проводится по строгому шаблону:

  • Анализ правовой, операционной и физической деятельности.
  • Соответствие официальным документом о деятельности и регистрации.
  • Подтверждение права на работу с доменом, который указан в запросе на получение SSL.
  • Проверка авторизации компании для выдачи сертификата EV.

Весь процесс занимает от 10 дней до двух недель. После выдачи сертификата СА обязан проводить ежегодный аудит всех организаций, которые получили ЕV. С ними работают все крупные бренды, государственные организации и НКО.

Сертификаты по своим свойствам

Обычные SSL

Автоматический выпуск, проверяется только наличие домена.

SGC

Более надежные сертификаты — поддерживают повышенный уровень шифрования. Но нужны лишь для старых, необновляемых браузеров.

Wildcard

Необходим для защиты передачи данных с нескольких поддоменов вашего домена. Сертификаты обеспечат им надежное шифрование.

SAN

В этот сертификат можно включить до пяти доменов. Главное условие — чтобы они не работали на одном сервере.

Выбираем оптимальный по цене сертификат

Для покупки SSL можно обратиться в один из центров Symantec — Thawte, Verisgin и Geotrust. Если вам нужны EV, то их дешевле купить в Geotrust. Там же есть недорогие SAN сертификаты. За SGC идите к Thawte или Verisgi, а обычные сертификаты и Wildcard покупайте у центра RapidSSL.

Реально ли взломать сайт с SSL?

Сертификаты защищают обмен данными во время работы протокола HTTPS. Информация, которую передает пользователь через браузер на сервер сайта, будет в безопасности. Но за защиту самого сайта SSL не отвечает.

Какие проблемы могут появиться с SSL?

Сертификаты нужно обновлять, иначе можно не пройти аудит в случае с EV или провалить проверку браузера. Необходимо устанавливать последние версии корневых сертификатов. Их можно скачать с официального сайта того СА, который выдал SSL.

Иногда возникает ошибка смешивания протоколов. Часть страницы передается через HTTPS, но другая — через HTTP. Данные не полностью зашифрованы, поэтому их могут украсть. Чаще всего проблема связана с наличием на сайте ссылок на небезопасный HTTP. Их нужно поменять на HTTPS или обратиться к эксперту.