Сертификаты SSL/TLS
Что такое сертификаты SSL/TLS и зачем они нужны?
Сертификат SSL/TLS — это электронный документ, который используется в протоколе SSL (TLS). Он служит для подтверждения защищенности сетевых подключений, подлинности веб-сайтов, а также проверки подлинности владельца открытого ключа в частных сетях. Выдают такие документы специальные центры сертификации (CA — Certificate Authority). Разработчики операционных систем, браузеров и других приложений встраивают корневые сертификаты этих центров в свои доверенные хранилища. В настоящее время протоколы SSL/TLS поддерживаются всеми основными операционными системами для новых компьютеров, планшетов и мобильных телефонов. Для простоты их название часто сокращают до более привычного SSL, хотя формально SSL не обновлялся с версии SSL 3.0 в 1996 году и считается устаревшим.
Secure Sockets Layer — это криптографический протокол для безопасной связи. В паре с этим протоколом идут сертификаты SSL, которые используются для установления шифрованного соединения между браузером или компьютером пользователя с веб-сайтом или веб-сервером. Transport Layer Security (TLS) — это обновленная, более безопасная версия SSL.
Для чего нужен SSL/TLS-сертификат?
SSL-протокол создает между двумя узлами сети защищенный от прослушивания и подмены информации канал связи, способный передавать данные в обоих направлениях. Этот протокол используется для защиты данных от несанкционированного доступа. Поэтому SSL-сертификаты, основанные на этом протоколе, можно встретить на веб-сайтах, веб-серверах и в веб-приложениях, а также в современных мессенджерах и мобильных приложениях.
Сертификаты SSL/TLS повышают безопасность обмена данными, помогают сохранить конфиденциальность онлайн-транзакций и гарантируют, что ресурс является подлинным и безопасным для ввода личных данных. К тому же современные стандарты, например PCI DSS (стандарт безопасности данных платежных карт), подразумевают использование SSL/TLS-сертификатов.
SSL также является важным фактором для SEO-оптимизации, поскольку поисковые системы ставят защищенные этими протоколами сайты выше в выдаче. Логика такая: сертификат содержит достоверные сведения о владельце домена и о компании, а значит, сайт считается надежнее, чем у конкурентов.
Как работают SSL/TLS сертификаты?
- Чтобы подключиться к веб-сайту или веб-серверу, защищенному с помощью SSL/TLS, компьютер пользователя запрашивает у него идентификацию.
- Веб-сервер отправляет копию SSL/TLS-сертификата, а компьютер пользователя проверяет этот сертификат на доверенность, сверяя его со списком доверенных корневых сертификатов, хранящихся в операционной системе или браузере. Сертификат гарантирует, что сервер действительно является владельцем домена.
- Если сертификат доверенный, компьютер сообщает об этом веб-серверу, который возвращает подтверждение с цифровой подписью.
- После этого начинается обмен данными, зашифрованный с использованием SSL/TLS.
В реальном времени процесс занимает менее секунды. Как только пользователь покидает веб-сайт, эти ключи удаляются, а при следующем посещении генерируется новый набор ключей.
Какие есть типы SSL/TLS-сертификатов?
Существует два типа классификации — по уровню проверки и типу защищаемых доменов. В первом случае выделяются следующие сертификаты: EV SSL, OV SSL и DV SSL.
- Сертификат с расширенной проверкой (EV SSL) отличается высочайшим уровнем шифрования, проверки и доверия. Перед выдачей EV SSL центры сертификации строго проверяют организацию или владельца веб-сайта. Сертификат используется для популярных веб-сайтов, которые собирают данные и используют онлайн-платежи.
- Сертификат, подтверждающий организацию (OV SSL). С точки зрения стоимости и безопасности идет сразу после EV-решений — проверка данных будет менее строгой, но все еще достаточно тщательной. Подходит для интернет-магазинов, соцсетей, коммерческих и общедоступных ресурсов.
- Сертификат, подтверждающий домен (DV SSL). Самый простой в получении, используется на ресурсах, которые не связаны с онлайн-оплатой или сбором данных. Подходит для информационных ресурсов и частных блогов.
По типам доменов также выделяются три типа сертификатов: Wildcard, MDC и UCC.
- Wildcard-сертификат помогает защитить один базовый домен и сколько угодно поддоменов.
- Мультидоменный сертификат (MDC) используется для защиты нескольких доменных и поддоменных имен.
- Сертификат унифицированных коммуникаций (UCC) является разновидностью мультидоменного SSL-сертификата и позволяет обеспечивать защиту нескольких доменных имен с помощью одного сертификата. UCC-сертификаты могут использоваться в качестве сертификатов с расширенной проверкой, обеспечивая максимальную безопасность для посетителей веб-сайта.
Как понять, что сайт установил SSL/TLS-сертификат?
Три важных признака:
- в адресе сайта написано https, то есть к стандартному http добавляется «s» — secure;
- в адресном поле есть символ замка;
- если используется сертификат с уровнем выше базового, этот символ или все адресное поле будут зелеными.
Какие существуют риски безопасности?
- Уязвимости конечных узлов. Эти уязвимости связаны с неправильной настройкой сервера или использованием устаревшего программного обеспечения, которое может содержать известные уязвимости. Например, если сервер не настроен для использования современных криптографических стандартов или не обновляется регулярно, он становится уязвимым для атак.
- Необходимость доверия третьей стороне для проверки сертификатов. Центры сертификации (Certificate Authorities, CA) играют ключевую роль в системе доверия SSL/TLS. Однако получить сертификат может кто угодно, в том числе злоумышленник, который затем способен использовать его на вредоносном сайте. Кроме этого, компрометация CA означает компрометацию всех выпущенных им сертификатов.