Что такое SSL-сертификат

SSL-сертификат (Secure Sockets Layer) — это цифровой протокол безопасности, подтверждающий подлинность сайта и позволяющий устанавливать закодированное соединение между браузером пользователя и сервером. SSL-лицензия необходима всем сайтам, которые работают с личными данными пользователей, проводят онлайн-оплаты и т.д.

В этой статье разберёмся, для чего нужен сертификат SSL сайта, как он действует и где его можно приобрести.

Что собой представляет SSL и чем отличается от TLS

Работа сети Интернет основывается на одном процессе — обмен данными. Браузер и сервер постоянно передают друг другу информацию. Например, вы хотите что-то купить в интернете. Вы вводите данные своей карты и отправляете их принимающей стороне, чтобы списалась оплата. Если этот канал связи между браузером и сервером не защищён, теоретически мошенники могут перехватить ваши данные и использовать их в своих целях. Сертификат SSL позволяет создавать защищённое соединение, где отправляемые и принимаемые данные зашифровываются с помощью специальных алгоритмов шифрования.

Первая версия документа цифровой безопасности типа SSL появилась ещё в 90-х. Однако, несмотря на обновление, каждая новая версия была несовершенна и имела уязвимости. Позднее был разработан новый сертификат, лишённый недостатков своего предшественника, он получил название TLS (Transport Layer Security). Собственно, именно TLS-протокол сейчас и применяется повсеместно, однако название первой версии — SSL — так прижилось, что его по-прежнему используют, говоря о сертификатах безопасности сайтов.

Как работает SSL

Протокол безопасности обеспечивает конфиденциальность передаваемых данных, то есть они ни при каких условиях не могут попасть к третьим лицам. Чтобы передать информацию в зашифрованном виде, используются специальные алгоритмы и одноразовые ключи шифрования, поэтому получить и тем более расшифровать такие данные не представляется возможным.

Протокол действует так:

1. Пользователь хочет зайти на сайт, защищённый с применением SSL.
2. Браузер при этом обращается к северу за подтверждением подлинности сайта.
3. Сервер направляет браузеру копию своего SSL-сертификата.
4. Браузеру необходимо проверить его подлинность через сверку с пунктом, где тот был получен. Если документ подлинный, браузер сообщает серверу, что всё в порядке.
5. Далее сервер отправляет подтверждение с уникальной цифровой подписью и создаёт защищённое соединение для передачи данных.

Весь этот процесс занимает доли секунды и совершенно не ощутим для пользователя. Узнать о наличии протокола безопасности достаточно просто — в адресной строке рядом с доменным именем сайта должен быть значок замка. Если он есть, значит сайт использует SSL.

В чём разница между HTTP и HTTPS

HTTP (HyperText Transfer Protocol) — это протокол передачи данных (гипертекста). Увидеть эту аббревиатуру можно в строке адреса, слева от названия сайта. Все ресурсы в Интернете используют протокол HTTP или HTTPS. Разница между ними заключается как раз в наличии сертификата. HTTPS — это защищённый протокол передачи данных, а S в аббревиатуре расшифровывается как Secur. Если в строке указан протокол HTTPS, значит у сайта есть SSL.

Для чего требуется сертификат безопасности

Кроме очевидной задачи — сохранить неприкосновенность данных пользователей, есть ещё второстепенная: формирование доверия со стороны посетителей ресурса. Если вы хотя бы раз попадали на сайт, работающий по протоколу HTTP, то есть без SSL, то наверняка ваш браузер предупреждал вас о небезопасном соединении. Пользователь вряд ли решится оставлять свои личные данные, а тем более данные банковских картах на сайтах, не имеющих защиты. Соответственно, для компаний, которые работают с персональными данными или же осуществляют продажи через сайт, подключение SSL является своеобразным гарантом. Так они заявляют пользователям, что позаботились о безопасности их данных.

Какую информацию защищает сертификат SSL:

• Логин и пароль, которые используются для входа в личный кабинет.
• Сведения о картах и банковских счетах.
• Персональные данные: имя, возраст, адрес, телефон и т.д.
• Любые документы, требующие соблюдения конфиденциальности.
• Другую информацию, не подлежащую разглашению третьим лицам.

Типы SSL сертификатов

В целом все протоколы безопасности можно разделить на две группы:

1. Самоподписанные. Это сертификаты, подписанные не сервере компании. Теоретически такой протокол может сделать кто угодно, но для браузера сайты с самоподписанными сертификатами всё равно считаются небезопасными. Поэтому при переходе на такой ресурс будет вылезать предупреждение.
2. Выданные удостоверяющим центром. Это как раз официальные сертификаты, подписанные в специальном удостоверяющем центре. Их подлинность подтверждают все браузеры.

Официальные SSL-протоколы в свою очередь подразделяются ещё на несколько типов:

• DV (domain validation) — базовый недорогой вариант, который подойдёт любым компаниям. Для получения достаточно подтвердить право собственности на домен. Такой тип сертификации не включает никакую информацию о компании.
• OV (organization validation) — более серьёзный и сложный в получении сертификат, так как для этого владельцу необходимо пройти расширенную проверку. Обеспечивает более высокий уровень защиты в сравнении с DV, подходит для юридически лиц.
• EV (extended validation) — наиболее дорогой и сложный в получении тип сертификации, однако именно EV обеспечивает максимальный уровень защиты данных.

Как выбрать SSL-сертификат

Чтобы подобрать подходящий тип сертификата, стоит опираться на вид сайта и то, какие данные пользователей он собирает.

Так, для личного блога, где никакая информация, кроме разве что электронной почты, не собирается, вполне подойдёт DV. Или же вовсе можно ограничиться бесплатными протоколами от Cloudflare или Let’s Encrypt.

Для интернет-магазина лучшим решением будет EV-сертификат. Так как здесь люди не только оставляют свои персональные данные — имя, адрес, телефон, но и вводят данные банковских карт. Такому ресурсу нужна максимальная защита. Если магазин пока небольшой и клиентов мало, на первых порах можно обойтись и OV, но при расширении лучше всё же перейти на более надёжный тип.

Новостные порталы чаще всего используют сертификаты типа OV, так как обычно предполагают заведение аккаунтов пользователей. Для сохранения конфиденциальности данных, логинов, паролей этот вариант подойдёт лучше всего.

Кто выдаёт сертификаты безопасности для сайтов

Приобрести официальный сертификат можно только в центре сертификации. Таковых существует немало, однако ввиду сложной внешнеполитической ситуации многие компании, оказывающие такие услуги, ушли из России. В итоге приобретение SSL стало сложнее, а у тех, кто ранее получал его в зарубежных компаниях, возникли сложности с оплатой подписки, так как российские карты перестали принимать. Осталось только выбирать из отечественных аналогов, которых, к сожалению, кот наплакал.

Наиболее простой способ обзавестись сертификатом — оставить заявку на сайте reg.ru. Здесь можно получить SSL даже бесплатно, но в том случае, если вы купите у них домен. Стоит учитывать и риски: этот сервис работает с центром сертификации GlobalSign, который может в любой момент ограничить доступ клиентам из России. Второй вариант — заказать SSL через «Госуслуги», да, возможно и такое.

Можно ли использовать один SSL для нескольких серверов?

Количество серверов, где может использоваться SSL, зависит от вида самого сертификата. SSL-протокол может использоваться на одном сервере, но для разных доменов. Возможен также вариант применения на нескольких серверах. Такие протоколы называются мультидоменные. Не предназначенные для этого называются однодоменные.

Период действия сертификата

SSL не бесконечен, он имеет срок. Максимальный период действия сертификата цифровой безопасности составляет 27 месяцев. По истечении этого срока его нужно продлить. Ограниченность времени объясняется необходимостью постоянного обновления и подтверждения информации. В Интернете всё меняется очень быстро. Сайты могут переходить от одного владельца к другому, а в соответствии с этим информация в сертификате тоже должна меняться. Регулярное обновление данных позволяет поддерживать актуальность сведений, используемых для подтверждения подлинности серверов и организаций.

Если срок действия SSL-сертификата закончился, и владелец сайта не продлил его, то ресурс перестаёт быть безопасным. При переходе на него браузер показывает пользователю предупреждение о небезопасности. Из-за этого количество отказов резко возрастает, так как пользователи быстро покидают страницу. Соответственно, для SEO отсутствие актуального сертификата также чревато проблемами.

Как обезопасить себя в интернете

Чтобы не угодить в руки мошенников, важно быть осмотрительнее при вводе своих личных данных на различных сайтах. Для начала стоит удостовериться в реальной безопасности сайта. Мы уже писали выше, как понять, есть ли у ресурса SSL:

• URL начинается с https, а не с http;
• в адресной строке справа от URL есть значок закрытого замка;
• браузер не ругается при попытке перехода на сайт.

Узнать тип защиты сайта можно, щёлкнув по иконке замка:

Если вы планируете вводить на сайте данные своей банковской карты, обязательно убедитесь, что этот сайт подлинный, а не фишинговый. Мошенники могут получить SSL-сертификат на фишинговый ресурс, чтобы усыпить бдительность пользователей. Отличить настоящий сайт от поддельного можно по доменному имени — у фишингового ресурса оно будет отличаться как минимум на один символ, потому что два одинаковых домена не могут существовать.

Если вы не уверены в подлинности сайта, ни в коем случае не вводите там свои данные. Можно установить в браузере дополнительные расширения, которые позволяют отслеживать и блокировать фишинговые ресурсы. Помните, что ваша безопасность в Интернете — в ваших руках.

Источники фото: freepik.com, qupe.ru