На заре Интернета все запросы и ответы веб-сайтов передавались в виде «простого текста». Это означало, что они потенциально могли просматриваться цифровыми перехватчиками, что делало рискованным передачу таких вещей, как учетные данные для входа в систему, номера кредитных карт и другую конфиденциальную личную информацию.
В середине 90-х компания Netscape разработала протокол безопасности для шифрования конфиденциальной информации для доставки и передачи веб-контента. Этот протокол назывался SSL (Secure Sockets Layer), а позже превратился в другой протокол, называемый TLS (Transport Layer Security). Нажмите здесь, чтобы начать продавать онлайн прямо сейчас с Shopify
Хотя SSL и TSL различаются по своим возможностям и архитектуре, они оба обеспечивают безопасность за счет использования цифровой технологии, называемой сертификатом SSL.
Что такое SSL-сертификат?
SSL-сертификат — это цифровой сертификат, который удостоверяет подлинность веб-сайта и создает зашифрованное соединение между веб-сайтом и браузером. Сертификат SSL иногда называют «сертификатом SSL/TLS» или просто «сертификатом».
SSL-сертификаты защищают личность удаленного подключения и делают онлайн-взаимодействия конфиденциальными, гарантируя, что никто, кроме отправителя и получателя, не сможет прочитать или изменить содержимое, совместно используемое через безопасное соединение. SSL-сертификат действует как паспорт для проверки личности владельца веб-сайта и как ключ для обеспечения безопасности пользовательских данных с помощью надежного шифрования.
Что такое центр сертификации SSL (CA)?
SSL-сертификаты выдаются организациями, называемыми центрами сертификации. ЦС — это доверенная сторонняя организация, которая гарантирует подлинность веб-сайта. Им доверяют, потому что их немного, они хорошо известны и должны преодолевать высокие барьеры для входа. В мире насчитывается чуть более 100 центров сертификации, и они проходят аудит, чтобы быть включенными в качестве доверенного корня поставщиками веб-браузеров и операционных систем.
Перед выдачей сертификата ЦС проверяет информацию о запрашивающем сертификате, такую как право собственности на сайт, имя, местоположение и т. д., в соответствии с установленными отраслевыми стандартами. ЦС также подписывает сертификат в цифровой форме с помощью собственного закрытого ключа, что позволяет клиентам проверять его. За предоставление этой услуги большинство центров сертификации взимают небольшую ежегодную плату (хотя бесплатные сертификаты SSL доступны на некоторых веб-хостингах и некоммерческих центрах сертификации).
Настоящий SSL-сертификат представляет собой небольшой цифровой файл, обычно размером несколько килобайт, который устанавливается на сервер, поддерживающий TLS, и используется совместно с другими пользователями. Этот файл содержит:
Доменное имя сайта, для которого выдан сертификат
Организация, которой он выдан (владелец сертификата)
Название выдавшего центра сертификации
Цифровая подпись центра сертификации
Любые связанные поддомены
Дата выдачи сертификата и срок действия
Открытый ключ (примечание: закрытый ключ не используется совместно)
Всякий раз, когда вы используете браузер для подключения к URL-адресу, начинающемуся с «https», или видите зеленый значок замка в адресной строке браузера, вы знаете, что у вас есть безопасное соединение TLS, подтвержденное сертификатом SSL, выданным центром сертификации. При нажатии на значок замка отобразится дополнительная информация о сертификате SSL, владельце домена и соединении.
Хотя этот замок означает, что ваше соединение с сайтом защищено, это не обязательно означает, что сайт можно использовать безопасно. То есть то, что вы можете безопасно подключиться к сайту, не означает, что он не контролируется злоумышленниками.
Как работает SSL-сертификат?
SSL-сертификат использует алгоритмы шифрования для шифрования данных при передаче. Это гарантирует, что любые данные, передаваемые между браузером и веб-сайтом, останутся недоступными для чтения третьей стороной.
Безопасная связь по протоколу TLS зависит от двух сертификатов — общедоступного и частного — для создания безопасного соединения.
Когда браузер пытается подключиться к веб-сайту, защищенному с помощью TLS, эта связь устанавливается с помощью «рукопожатия» или обратной связи, которая занимает всего несколько миллисекунд. Шаги в этом рукопожатии:
Клиент (браузер) подключается к защищенному SSL веб-сайту (серверу).
Клиент просит сервер идентифицировать себя.
Сервер отправляет копию своего SSL-сертификата.
Клиент проверяет SSL-сертификат на предмет надежности и сообщает серверу, если он проходит.
Сервер инициирует соглашение с цифровой подписью для начала сеанса с шифрованием SSL.
Зашифрованные данные теперь свободно и безопасно передаются между браузером и сервером.
Первоначальное рукопожатие происходит с использованием асимметричного шифрования на основе открытых и закрытых ключей. После проверки клиент и сервер обмениваются временными закрытыми ключами, которые используются только для сеанса. Это позволяет более эффективно шифровать и дешифровать.
Типы SSL-сертификатов
Чтобы получить максимальную отдачу от SSL, вам нужно выбрать правильный сертификат SSL. Существует три типа стандартных SSL-сертификатов:
Сертификат с проверкой домена (DV)
Подтвержденный организацией сертификат (OV)
Сертификат расширенной проверки (EV)
Разные SSL-сертификаты служат разным целям и имеют разную стоимость.
Сертификат с проверкой домена (DV)
Стоимость: 0–99 долларов в год.
Сертификат DV SSL включает в себя минимальную автоматическую проверку личности, устанавливающую только то, что владелец имеет контроль над доменом или субдоменом. Обычно это делается по электронной почте.
Сертификат DV SSL — это самый дешевый способ получить сертификат, и большинство бесплатных сертификатов SSL относятся к этому типу. Однако он представляет собой самый низкий стандарт безопасности веб-сайта. Сертификаты DV полезны для блогов, отдельных веб-сайтов, малого бизнеса или любого сайта с самыми базовыми потребностями в безопасности.
Подтвержденный организацией (OV) сертификат
Стоимость: 100–999 долларов в год.
SSL-сертификат OV предлагает более надежную гарантию личности носителя. Чтобы получить сертификат OV, покупатель должен пройти девять проверок.
Это бизнес-сертификат среднего уровня, и ЦС, выдавший его, гарантирует, что организация, связанная с сертификатом, действительна и имеет хорошую репутацию. Это хороший подход для компаний, которые не проводят финансовые операции или операции электронной торговли через свой сайт.
Сертификат расширенной проверки (EV)
Стоимость: $1000+ в год
Сертификат EV SSL представляет собой самый высокий уровень проверки личности, наиболее подходящий для корпораций, финансовых организаций и веб-сайтов электронной коммерции. Задействовано шестнадцать проверок, включая как юридическую личность, так и физическое местонахождение.
Конечный пользователь увидит зеленую панель браузера, указывающую на самый высокий уровень проверки, а также дополнительную корпоративную информацию за замком.
Что делать, если вам нужно защитить несколько доменов?
Один SSL-сертификат защищает одно доменное имя. Однако многим предприятиям требуется решение, обеспечивающее защиту нескольких доменных имен или поддоменов. Для этих предприятий протокол SSL предлагает два разных решения: SSL-сертификат с подстановочными знаками или многодоменный SSL-сертификат.
Подстановочный SSL-сертификат
Стоимость: варьируется
Некоторые предприятия используют несколько поддоменов (например, mail.example.com, shop.example.com) для выполнения различных функций на одном веб-сайте. Для этих организаций лучшим решением SSL обычно является сертификат SSL с подстановочными знаками. Подстановочный SSL-сертификат защищает основной домен веб-сайта, а также любые связанные с ним поддомены, снижая затраты и упрощая администрирование.
Мультидоменный SSL-сертификат
Стоимость: варьируется
В то время как подстановочные SSL-сертификаты помогают владельцу веб-сайта защищать поддомены в пределах одного домена, многодоменные SSL-сертификаты (MDC) могут использоваться для одновременной защиты нескольких доменных имен. Дополнительные домены могут быть добавлены к многодоменному сертификату через «альтернативные имена субъекта» (SAN) без необходимости приобретать дополнительный однодоменный SSL-сертификат. Многодоменные SSL-сертификаты иногда называют сертификатами унифицированных коммуникаций (UCC).
Как получить SSL-сертификат
Процесс приобретения одно- или многодоменных SSL-сертификатов и защиты пользовательских данных на вашем веб-сайте может быть сложным. Вот как это сделать.
Определите необходимый уровень безопасности веб-сайта. Выберите между DV, OV или EV SSL. (Если у вас есть несколько доменов или поддоменов, может потребоваться добавить или заменить подстановочный знак или сертификат MDC.) Проверьте потребности и бюджет вашей организации и выберите подходящий уровень проверки личности.
Определите домены и субдомены, которые будут поддерживаться. Если у вас есть только один сертификат, вам может не потребоваться получение группового сертификата.
Выберите центр сертификации/поставщика. Для более низких потребностей вам может просто понадобиться поработать с вашим провайдером веб-хостинга и получить бесплатный сертификат. Многодоменные сертификаты и сертификаты EV будут включать платные отношения с центром сертификации. Магазин вокруг.
Запросите сертификат у выбранного вами провайдера SSL. Обычно это включает в себя заполнение веб-форм и осуществление платежей.
Подтвердите право собственности и другие данные. ЦС последует за проверкой информации, которую вы предоставили в своей заявке, как минимум, требуя подтверждения владения доменом по электронной почте.
Получите и установите сертификат. Этот шаг зависит от выбранного вами ЦС и вашей веб-платформы. Как правило, вы загружаете ZIP-файл, содержащий три ключа: открытый ключ, закрытый ключ и пакет центра сертификации. Если вы работаете с коммерческим веб-хостингом, консоль администрирования вашего сайта обычно включает инструменты для установки сертификата. Если вы работаете на собственном оборудовании, ближе к операционной системе и веб-серверу, то следуйте документации для этой среды.
Настройте другие приложения для использования сертификата. Если вы намерены поддерживать соединения SSL с другими приложениями на ваших серверах (например, WordPress, электронная почта и т. д.), вам необходимо настроить их для использования вашего сертификата и протокола TLS.
Убедитесь, что ваше защищенное соединение работает. Подключитесь к своему веб-сайту и/или другим приложениям и убедитесь, что у вас безопасное соединение. Нажмите на замок и просмотрите информацию, отображаемую в браузере.
Разместите свой сайт(ы) в поисковых системах. Ваши новые сайты «https» отличаются от ваших старых сайтов «http». Если ваши пользователи полагаются на поисковые системы, чтобы найти вас, вам нужно будет повторно отправить свой новый веб-адрес https этим системам для индексации .
