Что такое SSL-сертификат? Определение и руководство

На заре Интернета все запросы и ответы веб-сайтов передавались в виде «простого текста». Это означало, что они потенциально могли просматриваться цифровыми перехватчиками, что делало рискованным передачу таких вещей, как учетные данные для входа в систему, номера кредитных карт и другую конфиденциальную личную информацию. 

В середине 90-х компания Netscape разработала протокол безопасности для шифрования конфиденциальной информации для доставки и передачи веб-контента. Этот протокол назывался SSL (Secure Sockets Layer), а позже превратился в другой протокол, называемый TLS (Transport Layer Security). Нажмите здесь, чтобы начать продавать онлайн прямо сейчас с Shopify

Хотя SSL и TSL различаются по своим возможностям и архитектуре, они оба обеспечивают безопасность за счет использования цифровой технологии, называемой сертификатом SSL. 

Что такое SSL-сертификат?

SSL-сертификат — это цифровой сертификат, который удостоверяет подлинность веб-сайта и создает зашифрованное соединение между веб-сайтом и браузером. Сертификат SSL иногда называют «сертификатом SSL/TLS» или просто «сертификатом».

SSL-сертификаты защищают личность удаленного подключения и делают онлайн-взаимодействия конфиденциальными, гарантируя, что никто, кроме отправителя и получателя, не сможет прочитать или изменить содержимое, совместно используемое через безопасное соединение. SSL-сертификат действует как паспорт для проверки личности владельца веб-сайта и как ключ для обеспечения безопасности пользовательских данных с помощью надежного шифрования.

Что такое центр сертификации SSL (CA)?

SSL-сертификаты выдаются организациями, называемыми центрами сертификации. ЦС — это доверенная сторонняя организация, которая гарантирует подлинность веб-сайта. Им доверяют, потому что их немного, они хорошо известны и должны преодолевать высокие барьеры для входа. В мире насчитывается чуть более 100 центров сертификации, и они проходят аудит, чтобы быть включенными в качестве доверенного корня поставщиками веб-браузеров и операционных систем.

Перед выдачей сертификата ЦС проверяет информацию о запрашивающем сертификате, такую ​​как право собственности на сайт, имя, местоположение и т. д., в соответствии с установленными отраслевыми стандартами. ЦС также подписывает сертификат в цифровой форме с помощью собственного закрытого ключа, что позволяет клиентам проверять его. За предоставление этой услуги большинство центров сертификации взимают небольшую ежегодную плату (хотя бесплатные сертификаты SSL доступны на некоторых веб-хостингах и некоммерческих центрах сертификации).

Настоящий SSL-сертификат представляет собой небольшой цифровой файл, обычно размером несколько килобайт, который устанавливается на сервер, поддерживающий TLS, и используется совместно с другими пользователями. Этот файл содержит:

• Доменное имя сайта, для которого выдан сертификат
• Организация, которой он выдан (владелец сертификата)
• Название выдавшего центра сертификации
• Цифровая подпись центра сертификации
• Любые связанные поддомены
• Дата выдачи сертификата и срок действия
• Открытый ключ (примечание: закрытый ключ не используется совместно)

Всякий раз, когда вы используете браузер для подключения к URL-адресу, начинающемуся с «https», или видите зеленый значок замка в адресной строке браузера, вы знаете, что у вас есть безопасное соединение TLS, подтвержденное сертификатом SSL, выданным центром сертификации. При нажатии на значок замка отобразится дополнительная информация о сертификате SSL, владельце домена и соединении.

Хотя этот замок означает, что ваше соединение с сайтом защищено, это не обязательно означает, что сайт можно использовать безопасно. То есть то, что вы можете безопасно подключиться к сайту, не означает, что он не контролируется злоумышленниками.

Как работает SSL-сертификат?

SSL-сертификат использует алгоритмы шифрования для шифрования данных при передаче. Это гарантирует, что любые данные, передаваемые между браузером и веб-сайтом, останутся недоступными для чтения третьей стороной.

Безопасная связь по протоколу TLS зависит от двух сертификатов — общедоступного и частного — для создания безопасного соединения. 

Когда браузер пытается подключиться к веб-сайту, защищенному с помощью TLS, эта связь устанавливается с помощью «рукопожатия» или обратной связи, которая занимает всего несколько миллисекунд. Шаги в этом рукопожатии:

1. Клиент (браузер) подключается к защищенному SSL веб-сайту (серверу).
2. Клиент просит сервер идентифицировать себя.
3. Сервер отправляет копию своего SSL-сертификата.
4. Клиент проверяет SSL-сертификат на предмет надежности и сообщает серверу, если он проходит.
5. Сервер инициирует соглашение с цифровой подписью для начала сеанса с шифрованием SSL.
6. Зашифрованные данные теперь свободно и безопасно передаются между браузером и сервером.

Первоначальное рукопожатие происходит с использованием асимметричного шифрования на основе открытых и закрытых ключей. После проверки клиент и сервер обмениваются временными закрытыми ключами, которые используются только для сеанса. Это позволяет более эффективно шифровать и дешифровать.

Типы SSL-сертификатов

Чтобы получить максимальную отдачу от SSL, вам нужно выбрать правильный сертификат SSL. Существует три типа стандартных SSL-сертификатов:

1. Сертификат с проверкой домена (DV)
2. Подтвержденный организацией сертификат (OV)
3. Сертификат расширенной проверки (EV)

Разные SSL-сертификаты служат разным целям и имеют разную стоимость.

Сертификат с проверкой домена (DV)

Стоимость: 0–99 долларов в год.

Сертификат DV SSL включает в себя минимальную автоматическую проверку личности, устанавливающую только то, что владелец имеет контроль над доменом или субдоменом. Обычно это делается по электронной почте.

Сертификат DV SSL — это самый дешевый способ получить сертификат, и большинство бесплатных сертификатов SSL относятся к этому типу. Однако он представляет собой самый низкий стандарт безопасности веб-сайта. Сертификаты DV полезны для блогов, отдельных веб-сайтов, малого бизнеса или любого сайта с самыми базовыми потребностями в безопасности. 

Подтвержденный организацией (OV) сертификат

Стоимость: 100–999 долларов в год.

SSL-сертификат OV предлагает более надежную гарантию личности носителя. Чтобы получить сертификат OV, покупатель должен пройти девять проверок.

Это бизнес-сертификат среднего уровня, и ЦС, выдавший его, гарантирует, что организация, связанная с сертификатом, действительна и имеет хорошую репутацию. Это хороший подход для компаний, которые не проводят финансовые операции или операции электронной торговли через свой сайт.

Сертификат расширенной проверки (EV)

Стоимость: $1000+ в год

Сертификат EV SSL представляет собой самый высокий уровень проверки личности, наиболее подходящий для корпораций, финансовых организаций и веб-сайтов электронной коммерции. Задействовано шестнадцать проверок, включая как юридическую личность, так и физическое местонахождение.

Конечный пользователь увидит зеленую панель браузера, указывающую на самый высокий уровень проверки, а также дополнительную корпоративную информацию за замком.

Что делать, если вам нужно защитить несколько доменов?

Один SSL-сертификат защищает одно доменное имя. Однако многим предприятиям требуется решение, обеспечивающее защиту нескольких доменных имен или поддоменов. Для этих предприятий протокол SSL предлагает два разных решения: SSL-сертификат с подстановочными знаками или многодоменный SSL-сертификат.

Подстановочный SSL-сертификат

Стоимость: варьируется

Некоторые предприятия используют несколько поддоменов (например, mail.example.com, shop.example.com) для выполнения различных функций на одном веб-сайте. Для этих организаций лучшим решением SSL обычно является сертификат SSL с подстановочными знаками. Подстановочный SSL-сертификат защищает основной домен веб-сайта, а также любые связанные с ним поддомены, снижая затраты и упрощая администрирование.

Мультидоменный SSL-сертификат

Стоимость: варьируется

В то время как подстановочные SSL-сертификаты помогают владельцу веб-сайта защищать поддомены в пределах одного домена, многодоменные SSL-сертификаты (MDC) могут использоваться для одновременной защиты нескольких доменных имен. Дополнительные домены могут быть добавлены к многодоменному сертификату через «альтернативные имена субъекта» (SAN) без необходимости приобретать дополнительный однодоменный SSL-сертификат. Многодоменные SSL-сертификаты иногда называют сертификатами унифицированных коммуникаций (UCC).

Как получить SSL-сертификат

Процесс приобретения одно- или многодоменных SSL-сертификатов и защиты пользовательских данных на вашем веб-сайте может быть сложным. Вот как это сделать.

1. Определите необходимый уровень безопасности веб-сайта. Выберите между DV, OV или EV SSL. (Если у вас есть несколько доменов или поддоменов, может потребоваться добавить или заменить подстановочный знак или сертификат MDC.) Проверьте потребности и бюджет вашей организации и выберите подходящий уровень проверки личности.
2. Определите домены и субдомены, которые будут поддерживаться. Если у вас есть только один сертификат, вам может не потребоваться получение группового сертификата.
3. Выберите центр сертификации/поставщика. Для более низких потребностей вам может просто понадобиться поработать с вашим провайдером веб-хостинга и получить бесплатный сертификат. Многодоменные сертификаты и сертификаты EV будут включать платные отношения с центром сертификации. Магазин вокруг.
4. Запросите сертификат у выбранного вами провайдера SSL. Обычно это включает в себя заполнение веб-форм и осуществление платежей.
5. Подтвердите право собственности и другие данные. ЦС последует за проверкой информации, которую вы предоставили в своей заявке, как минимум, требуя подтверждения владения доменом по электронной почте.
6. Получите и установите сертификат. Этот шаг зависит от выбранного вами ЦС и вашей веб-платформы. Как правило, вы загружаете ZIP-файл, содержащий три ключа: открытый ключ, закрытый ключ и пакет центра сертификации. Если вы работаете с коммерческим веб-хостингом, консоль администрирования вашего сайта обычно включает инструменты для установки сертификата. Если вы работаете на собственном оборудовании, ближе к операционной системе и веб-серверу, то следуйте документации для этой среды.
7. Настройте другие приложения для использования сертификата. Если вы намерены поддерживать соединения SSL с другими приложениями на ваших серверах (например, WordPress, электронная почта и т. д.), вам необходимо настроить их для использования вашего сертификата и протокола TLS.
8. Убедитесь, что ваше защищенное соединение работает. Подключитесь к своему веб-сайту и/или другим приложениям и убедитесь, что у вас безопасное соединение. Нажмите на замок и просмотрите информацию, отображаемую в браузере.
9. Разместите свой сайт(ы) в поисковых системах. Ваши новые сайты «https» отличаются от ваших старых сайтов «http». Если ваши пользователи полагаются на поисковые системы, чтобы найти вас, вам нужно будет повторно отправить свой новый веб-адрес https этим системам для индексации .