Что такое ssl сертификат и для чего он нужен виды
«Как это работает»: знакомство с SSL/TLS
Мы достаточно часто рассказываем о разных технологиях: от систем хранения до резервного копирования. Помимо этого мы делимся собственным опытом оптимизации работы нашего IaaS-провайдера — говорим об управленческих аспектах и возможностях для улучшения usability сервиса.
Сегодня мы решили затронуть тему безопасности и поговорить об SSL. Всем известно, что сертификаты обеспечивают надежное соединение, а мы разберёмся в том, как именно это происходит, и взглянем на используемые протоколы.
SSL (secure sockets layer — уровень защищённых cокетов) представляет собой криптографический протокол для безопасной связи. С версии 3.0 SSL заменили на TLS (transport layer security — безопасность транспортного уровня), но название предыдущей версии прижилось, поэтому сегодня под SSL чаще всего подразумевают TLS.
Цель протокола — обеспечить защищенную передачу данных. При этом для аутентификации используются асимметричные алгоритмы шифрования (пара открытый — закрытый ключ), а для сохранения конфиденциальности — симметричные (секретный ключ). Первый тип шифрования более ресурсоемкий, поэтому его комбинация с симметричным алгоритмом помогает сохранить высокую скорость обработки данных.
Рукопожатие
Когда пользователь заходит на веб-сайт, браузер запрашивает информацию о сертификате у сервера, который высылает копию SSL-сертификата с открытым ключом. Далее, браузер проверяет сертификат, название которого должно совпадать с именем веб-сайта.
Кроме того, проверяется дата действия сертификата и наличие корневого сертификата, выданного надежным центром сертификации. Если браузер доверяет сертификату, то он генерирует предварительный секрет (pre-master secret) сессии на основе открытого ключа, используя максимально высокий уровень шифрования, который поддерживают обе стороны.
Сервер расшифровывает предварительный секрет с помощью своего закрытого ключа, соглашается продолжить коммуникацию и создать общий секрет (master secret), используя определенный вид шифрования. Теперь обе стороны используют симметричный ключ, который действителен только для данной сессии. После ее завершения ключ уничтожается, а при следующем посещении сайта процесс рукопожатия запускается сначала.
Алгоритмы шифрования
Для симметричного шифрования использовались разные алгоритмы. Первым был блочный шифр DES, разработанный компанией IBM. В США его утвердили в качестве стандарта в 70-х годах. В основе алгоритма лежит сеть Фейстеля с 16-ю циклами. Длина ключа составляет 56 бит, а блока данных — 64.
Развитием DES является алгоритм 3DES. Он создавался с целью совершенствования короткого ключа в алгоритме-прародителе. Размер ключа и количество циклов шифрования увеличилось в три раза, что снизило скорость работы, но повысило надежность.
Еще был блочный шифр RC2 с переменной длиной ключа, который работал быстрее DES, а его 128-битный ключ был сопоставим с 3DES по надежности. Потоковый шифр RC4 был намного быстрее блочных и строился на основе генератора псевдослучайных битов. Но сегодня все эти алгоритмы считаются небезопасными или устаревшими.
Самым современным признан стандарт AES, который официально заменил DES в 2002 году. Он основан на блочном алгоритме Rijndael и скорость его работы в 6 раз выше по сравнению с 3DES. Размер блока здесь равен 128 битам, а размер ключа — 128/192/256 битам, а количество раундов шифрования зависит от размера ключа и может составлять 10/12/14 соответственно.
Что касается асимметричного шифрования, то оно чаще всего строится на базе таких алгоритмов, как RSA, DSA или ECC. RSA (назван в честь авторов Rivest, Shamir и Adleman) используется и для шифрования, и для цифровой подписи. Алгоритм основан на сложности факторизации больших чисел и поддерживает все типы SSL-сертификатов.
DSA (Digital Signature Algorithm) используется только для создания цифровой подписи и основан на вычислительной сложности взятия логарифмов в конечных полях. По безопасности и производительности полностью сопоставим с RSA.
ECC (Elliptic Curve Cryptography) определяет пару ключей с помощью точек на кривой и используется только для цифровой подписи. Основным преимуществом алгоритма является более высокий уровень надежности при меньшей длине ключа (256-битный ECC-ключ сопоставим по надежности с 3072-битным RSA-ключом.
Более короткий ключ также влияет на время обработки данных, которое заметно сокращается. Этот факт и то, что алгоритм эффективно обрабатывает большое количество подключений, сделали его удобным инструментом для работы с мобильной связью. В SSL-сертификатах можно использовать сразу несколько методов шифрования для большей защиты.
Хеш и MAC
Цель хеш-алгоритма — преобразовывать все содержимое SSL-сертификата в битовую строку фиксированной длины. Для шифрования значения хеша применяется закрытый ключ центра сертификации, который включается в сертификат как подпись.
Хеш-алгоритм также использует величину, необходимую для проверки целостности передаваемых данных — MAC (message authentication code). MAC использует функцию отображения, чтобы представлять данные сообщения как фиксированное значение длины, а затем хеширует сообщение.
В протоколе TLS применяется HMAC (hashed message authentication code), который использует хеш-алгоритм сразу с общим секретным ключом. Здесь ключ прикрепляется к данным, и для подтверждения их подлинности обе стороны должны использовать одинаковые секретные ключи, что обеспечивает большую безопасность.
Все алгоритмы шифрования сегодня поддерживают алгоритм хеширования SHA2, чаще всего именно SHA-256. SHA-512 имеет похожую структуру, но в нем длина слова равна 64 бита (вместо 32), количество раундов в цикле равно 80 (вместо 64), а сообщение разбивается на блоки по 1024 бита (вместо 512 бит). Раньше для тех же целей применялся алгоритм SHA1 и MD5, но сегодня они считаются уязвимыми.
Разговоры об отказе от SHA1 велись достаточно давно, но в конце февраля алгоритм был официально взломан. Исследователям удалось добиться коллизии хешей, то есть одинакового хеша для двух разных файлов, что доказало небезопасность использования алгоритма для цифровых подписей. Первая попытка была сделана еще в 2015, хотя тогда удалось подобрать только те сообщения, хеш которых совпадал. Сегодня же речь идет о целых документах.
Сертификаты бывают разные
Теперь, когда мы разобрались, что представляет собой протокол SSL/TLS и как происходит соединений на его основе, можно поговорить и о видах сертификатов.
Domain Validation, или сертификаты с проверкой домена, подходят для некоммерческих сайтов, так как они подтверждают только веб-сервер, обслуживающий определенный сайт, на который был осуществлен переход. Этот вид сертификата самый дешевый и популярный, но не может считаться полностью безопасным, так как содержит только информацию о зарегистрированном доменном имени.
Organization Validation, или сертификаты с проверкой организации, являются более надежными, так как подтверждают еще регистрационные данные компании-владельца. Эту информацию юридическое лицо обязано предоставить при покупке сертификата, а удостоверяющий центр может связаться напрямую с компанией для подтверждения этой информации. Сертификат отвечает стандартам RFC и содержит информацию о том, кто его подтвердил, но данные о владельце не отображаются.
Extended Validation, или сертификат с расширенной проверкой, считается самым надежным. Собственно, зеленый замочек или ярлык в браузере означает как раз то, что у сайта есть именно такой сертификат. О том, как разные браузеры информируют пользователей о наличии сертификата или возникающих ошибках можно почитать тут.
Он нужен веб-сайтам, которые проводят финансовые транзакции и требуют высокий уровень конфиденциальности. Однако многие сайты предпочитают перенаправлять пользователей для совершения платежей на внешние ресурсы, подтвержденные сертификатами с расширенной проверкой, при этом используя сертификаты OV, которых вполне хватает для защиты остальных данных пользователей.
Кроме того, сертификаты могут различаться в зависимости от количества доменов, на которые они были выданы. Однодоменные сертификаты (Single Certificate) привязываются к одному домену, который указывается при покупке. Мультидоменные сертификаты (типа Subject Alternative Name, Unified Communications Certificate, Multi Domain Certificate) будут действовать уже для большего числа доменных имен и серверов, которые также определяются при заказе. Однако за включение дополнительных доменов, свыше определенной нормы, потребуется платить отдельно.
Еще существуют поддоменные сертификаты (типа WildCard), которые охватывают все поддомены указанного при регистрации доменного имени. Иногда могут потребоваться сертификаты, которые будут одновременно включать не только несколько доменов, но и поддомены. В таких случаях можно приобрести сертификаты типа Comodo PositiveSSL Multi-Domain Wildcard и Comodo Multi-Domain Wildcard SSL или (лайфхак) обычный мультидоменный сертификат, где в списке доменов указать также и нужные поддоменные имена.
Получить SSL-сертификат можно и самостоятельно: пара ключей для этого генерируется через любой генератор, например, бесплатный OpenSSL. И такой защищенный канал связи вполне получится использовать для внутренних целей: между устройствами своей сети или приложениями. Но вот для использования на веб-сайте сертификат необходимо приобретать официально, чтобы в цепочке подтверждения сертификатов обязательно имелся корневой сертификат, браузеры не показывали сообщений о небезопасном соединении, а пользователи были спокойны за свои данные.
Как защитить пользователей сайта? Обзор видов SSL сертификатов
Мир интернета наполнен не только полезными знаниями, весёлым контентом и удобными интернет-магазинами. В нём есть и много мошенников. Они перехватывают конфиденциальные данные (паспортные и банковские) или создают целые сайты, с помощью которых выманивают важную информацию. На борьбу с недоброжелателями вышел SSL-сертификат. Благодаря ему пользователь может вычислить недобросовестного владельца сайта и не дать перехватить свои данные при общении с «хорошими» ресурсами. О том, что такое SSL и как понять, есть ли он на сайте, вы можете прочитать в статье Что такое SSL-сертификат и зачем он моему сайту. В этой статье мы расскажем о видах сертификатов и о том, как выбрать SSL для своего сайта.
Типы SSL-сертификатов
Сертификаты можно классифицировать по стоимости и по уровню проверки.
Уровни проверки сертификатов
Давайте сравним сертификаты разного уровня проверки. Они бывают такими:
Domain Validated (DV),
Organization Validated (OV),
Extended Validation (EV).
В зависимости от уровня SSL от заказчика потребуется разный объем информации об организации. Чем выше уровень, тем больше документов нужно будет представить.
Также уровень сертификата влияет на внешний вид строки браузера. Чем выше уровень, тем больше информации об организации будет доступно пользователю и тем безопаснее он будет чувствовать себя на веб-ресурсе. Стоит отметить, что каждый браузер сам выбирает, как будет выглядеть адресная строка защищённого сайта. Однако в любом случае веб-ресурсы с HTTPS будут иметь отличительные признаки.
Теперь давайте подробнее рассмотрим каждый из этих уровней и узнаем, для кого подойдёт каждый из них.
Domain Validated (DV) ― сертификат с упрощённой проверкой. При выпуске этого сертификата проверяется только право на использование домена. Доступен физическим лицам, ИП и юридическим лицам. Выпускается быстро. В течение 1-3 дней.
Обратите внимание! Это единственный доступный вид сертификата для физических лиц.
При подключении защищённого соединения к сайту в адресной строке появится зелёный или закрытый замочек. Таким образом, пользователи будут понимать, что работа с сайтом будет происходить по защищённому соединению. Подойдёт для стартапов и малого бизнеса, где от пользователей не требуют много персональных данных.
Organization Validated (OV) ― сертификат с повышенным уровнем безопасности. При выпуске SSL проверяется право владения доменом и существование организации. Доступен только юридическим лицам.
Выпускается сертификат дольше 3 дней. В процессе проверки сертификационный центр может дополнительно запросить некоторые документы у компании.
В браузере будет отображаться не только зелёный замочек, но и наименование организации, которой принадлежит сайт. Подойдёт любым коммерческим и некоммерческим сайтам.
Extended Validation (EV) ― сертификат с самым высоким уровнем безопасности. При его выпуске проверяется право владения доменом, существование организации, а также тщательно изучается легальность её деятельности. Получить его может только юридическое лицо.
Ждать такой сертификат придётся до 14 дней. В процессе проверки центр сертификации может запросить различные документы, которые подтвердят деятельность компании.
В браузере будет отображаться зелёный или закрытый замочек и наименование организации.
Так как это самый высокий уровень защиты данных пользователей, он подойдёт интернет-магазинам с большой аудиторией, платежным сервисам и банковским системам.
Кто может получить
Физическое лицо, ИП, юридическое лицо
Физическое лицо, ИП, юридическое лицо
Право владения доменом
Право владения доменом, существование организации
Право владения доменов, существование организации, легальность деятельности
Что отображается в браузере
Зелёный или закрытый замочек
Зелёный или закрытый замочек, данные организации
Зелёный или закрытый замочек, данные организации
Сравнение SSL разного вида
Платные или бесплатные SSL?
Выбор SSL также зависит от финансовых возможностей компании. Сертификаты бывают:
Любой сертификат работает по HTTPS-протоколу. Так зачем же выбирать платный сертификат, если есть бесплатный? На самом деле различия между платными и бесплатными SSL всё-таки есть и при выборе средства защиты стоит обратить на них внимание.
Бесплатные сертификаты мало живут. Создание и администрирование сайта – кропотливый процесс, и хочется, чтобы некоторые технические работы выполнялись реже. Например, домен или хостинг можно зарегистрировать на несколько лет вперед или включить автопродление и много лет не тратить время на эти действия. То же самое и с SSL-сертификатом. Так же, как домен и хостинг, его нужно постоянно продлевать. Бесплатные сертификаты в среднем продлеваются каждые 3 месяца, например Let`s Encrypt. В то время как платные сертификаты могут устанавливаться на год.
Нет возможности выбрать уровень OV и EV. Удостоверяющие центры, которые выпускают бесплатный SSL не готовы брать на себя ответственность за предоставляемые услуги, поэтому они делают только поверхностную проверку организации уровня DV. Организации, которые следят за репутацией, стараются выбирать более высокие уровни сертификации, чтобы завоевать доверие пользователя и поисковых систем. Поисковых систем? Да, да. Они щепетильно относятся к безопасности пользователя, и сайты с уровнем OV и EV имеют больше шансов пробиться в ТОП выдачи браузера.
Помощь в установке. К сожалению, установка SSL на сайт требует некоторых навыков и часто вызывает сложности у первопроходцев. Если вы выбираете бесплатный сертификат, то вы останетесь с трудностями один на один. Вам придётся самостоятельно разбираться с процессом установки. Если же вы приобретаете сертификат, то вам всегда может помочь техническая поддержка. А некоторые организации даже самостоятельно всё установят, и вам совсем не придётся переживать.
Гарантия защиты. Если у вас платный SSL, центр сертификации ответственен за качество предоставляемой услуги. Если случится утечка данных, компания-заказчик имеет право получить компенсацию.
После всего перечисленного может показаться, что бесплатные SSL плохие. Это не так. Низкобюджетные проекты, стартапы и физические лица не всегда могут позволить себе платный сертификат, и для них бесплатные варианты лучше, чем вообще оставлять посетителей своих сайтов без защиты. Как только бизнес пойдёт в гору, всегда можно перейти на более высокий уровень защиты.
Обзор популярных SSL-сертификатов для сайта
Теперь перечислим лучшие SSL-сертификаты на данный момент.
Let’s Encrypt
Let’s Encrypt ― бесплатный и автоматизированный центр сертификации. Он создан организацией Internet Security Research Group (ISRG) в 2012 году. С его помощью можно установить SSL только уровня Domain Validated. Несмотря на то что компания выпускает бесплатный продукт, с точки зрения стандарта шифрования сертификат от Let’s Encrypt не уступает платным продуктам, разработанным другими центрами сертификации.
Весь процесс установки сертификата автоматизирован. Вам нужно только запустить установочный процесс.
Получить бесплатный SSL-сертификат Let’s Encrypt можно напрямую через командную строку, а также, если у вас WordPress, cPanel или Plesk, в панелях управления.
Его главный минус ― ограниченный срок действия. Let’s Encrypt придётся обновлять каждые 90 дней (
3 месяца). Чаще всего обновление происходит вручную. Однако на некоторых панелях управления хостингом можно это делать в автоматическом режиме.
Также у Let’s Encrypt нет службы поддержки. Поэтому, если у вас появятся вопросы или проблемы при установке сертификата, искать ответы придётся только в технической документации или на форуме.
Let’s Encrypt нельзя установить на кириллические домены и другие домены, которые не используют латиницу, а также на сайт, который работает по протоколу IPv6.
Comodo SSL
Comodo SSL ― это самый популярный платный SSL-сертификат на данный момент. Он предоставляет разные уровни проверки (DV, OV, EV), то есть подходит как для физических лиц, так и для ИП и юридических лиц.
В отличие от бесплатных и некоторых платных сертификатов, он совместим со многими браузерами. Он может защищать главный домен с префиксом www или без него.
Comodo SSL поддерживает IDN (Internationalized Domain Names), то есть его можно устанавливать на сайты с национальными доменами, к примеру, кириллическими. У Comodo есть тарифы с Wildcard, которые позволяют установить защищённое соединение не только на основной домен, но и на поддомены.
GlobalSign
GlobalSign — один из крупнейших сертификационных центров, который занимается выдачей SSL. Он основан в 1999 году.
Также как и у Comodo, у него есть разные уровни проверки (DV, OV, EV). Совместим с популярными браузерами, такими как Firefox, Chrome, Opera, Safari, Yandex, AOL, а также с приложениями. GlobalSign отличается не только высокой защитой данных, но и обеспечивает при этом максимальную скорость загрузки веб-сайтов.
Как выбрать SSL-сертификат для своего сайта
Какой SSL-сертификат выбрать для сайта? На что стоит обратить внимание.
Во-первых, всё зависит от вашего статуса (физ. лицо., ИП или юр. лицо). Если вы физическое лицо, выбор у вас небольшой. Вы можете позволить себе только самый низкий уровень сертификации.
Во-вторых, определитесь с вашими финансовыми возможностями. У нового бизнеса мало денег и самая высокая защита иногда слишком дорогая, да и сразу сильно тратиться на дорогой SSL-сертификат – не лучший вариант.
В-третьих, нужно понять, как много персональных данных передают вам клиенты. Конечно, для крупных интернет-магазинов, и тем более для платежных систем, нужна максимальная защита, но если на вашем ресурсе не передаются паспортные и банковские данные, вам хватит и защиты уровня OV.
Что такое SSL-сертификат и чем он опасен
Про SSL-сертификаты уже написано немало статей, однако интерес к ним не спадает, тем более что количество людей, решивших открыть свой веб-ресурс в сети, постоянно возрастает. Эта статья создана специально для тех, кто хочет узнать, что такое SSL-сертификат, зачем использовать его на своем сайте, какие варианты сертификатов существуют и о чем обязательно стоит помнить при установке SSL.
Что такое SSL-сертификат?
SSL-сертификат – это специальный сертификат безопасности, который устанавливается на сайт для того, чтобы данные можно было передавать по протоколу SSL. SSL расшифровывается как Secure Sockets Layer (т.е. Уровень Защищенных Сокетов). Этот протокол обеспечивает безопасную передачу данных между сервером, на котором находится ресурс, и браузером пользователя.
Наличие SSL-сертификата на сайте легко проверить, просто посмотрев на строку с адресом сайта в браузере. В зависимости от выбранного владельцем сертификата, в адресной строке вы увидите значок закрытого замка, при нажатии на который появится фраза «Безопасное соединение». Рядом с замочком также может быть указано название компании-собственника.
Если же на сайте SSL-сертификат не установлен, то перед адресом будет написано «Не защищено».
Разница между HTTP и HTTPS
HTTP – это протокол прикладного уровня, который используется для передачи данных в сети. Этот протокол дает возможность передавать запросы от клиента к серверу и получать от сервера ответы на эти запросы.
Что касается HTTPS, то это не другой отдельный протокол, а расширение протокола HTTP. Это можно понять уже по расшифровке аббревиатур:
Если по HTTP данные передаются в незащищенном виде, то HTTPS обеспечивает их криптографической защитой, то есть уберегает данные от несанкционированного доступа.
Почему важно, чтобы на ресурсе использовался HTTPS? Потому что никто не хочет, чтобы данные авторизации (если речь о социальных сетях) или платежные данные (если речь об интернет-магазинах) оказалась в руках злоумышленников.
Для чего сайту нужен SSL-сертификат?
Как уже было сказано выше, очень важно, чтобы данные, которые передаются между пользовательским компьютером и сервером, не попали в третьи руки. В первую очередь речь идет о данных, связанных с финансовыми операциями: денежных транзакциях, банковских картах и так далее.
Так что ответ на вопрос «Для чего нужен SSL-сертификат для сайта» – для того, чтобы обеспечить безопасное соединение между браузером клиента и сервером.
Следующий вопрос, который может у вас возникнуть, – а так ли необходимо устанавливать SSL-сертификат на свой сайт? Ответ один – да, это необходимый элемент любого сайта.
Раньше SSL-сертификаты чаще всего использовались на сайтах, связанных с электронной коммерцией (например, в интернет-магазинах), и других ресурсах, на которых хранились конфиденциальные данные пользователей. Но сейчас наступило время, когда сетевой безопасности уделяется особое внимание, поэтому любой сайт, не имеющий SSL-сертификата, воспринимается как потенциально опасный для пользователей.
Разновидности SSL-сертификатов
SSL-сертификаты базово можно разделить по двум критериям – по компаниям, которые их выпускают, и по типу самих сертификатов.
Начнем с первого критерия. Существует несколько компаний, которые выпускают сертификаты. Мы остановимся на одних из самых известных – Sectigo и Let’s Encrypt.
Let’s Encrypt завоевал популярность за счет своего бесплатного распространения. А Sectigo выпускает несколько видов платных SSL-сертификатов. На примере сертификатов от Sectigo мы рассмотрим, какие виды SSL-сертификатов существуют:
Можно ли взломать сайт с SSL-сертификатом?
SSL-сертификаты направлены на безопасную передачу данных, но они никак не влияют на защиту самого сайта от взлома. Т.е. информация, которая поступает от пользователя на сайт и обратно, будет защищена, но над защищенностью самого сайта нужно работать отдельно. О защите сайта можно прочитать в статье « Как защитить сайт от взлома ».
Чем опасны сертификаты?
Пользователи, которые только начинают разбираться в SSL, наверняка захотят узнать, может ли установка сертификата как-то негативно отразиться на самом сайте.
Обычно нет. SSL-сертификат – это всегда большой плюс, можно даже сказать, необходимость. Однако есть один нюанс, с которым вы можете столкнуться после его установки – проблема смешанного содержимого («mixed content»).
Такая ситуация возникает в тех случаях, когда страница передается по протоколу HTTPS, но часть содержимого отправляется все еще по HTTP (например, изображения). В этом случае соединение будет считаться не полностью, а лишь частично зашифрованным, ведь все, что передается по HTTP, можно перехватить.
Если вы столкнулись с такой проблемой и не обладаете какими-либо знаниями в редактировании кода, то наилучшим решением будет обратиться к специалисту. Он проанализирует сайт и поможет вам. Часто проблема заключается в том, что на ресурсе остались ссылки, ведущие на небезопасный протокол («http://») – тогда необходимо либо изменить эти ссылки на относительные, либо на «https://».