Короткий гід по SSL-сертифікатами: що потрібно про них знати і як правильно вибрати

8

Останнім часом частка валідних SSL-сертифікатів у різних доменних зонах має тенденцію до зростання, як і загальна зацікавленість SSL-технологіями. Проте ще не всі усвідомили, з чим мають справу, коли чують це слово. Тому ми спробуємо все ж таки зрозуміти, що воно означає, і допоможемо вибрати саме той сертифікат, який потрібен конкретно вашого проекту (і чи потрібен взагалі).

Для безпечної передачі даних між браузером користувача і сервером використовується інфраструктура ключів, яка дозволяє шифрувати передану інформацію за допомогою відкритого ключа (відомий усім) і розшифровувати її з допомогою закритого (відомий лише його власнику), що називається асиметричним шифруванням. Сама ця інфраструктура підпорядковується міжнародному стандарту x.509, який визначає склад електронного сертифіката:

  • номер версії сертифіката (1-3);
  • порядковий номер;
  • ідентифікатор алгоритму підпису;
  • ім’я організації, що видала сертифікат;
  • термін дії сертифіката;
  • ім’я власника сертифіката;
  • відкритий ключ власника сертифіката;
  • цифровий підпис.

Стандарт x.509 не передбачає конкретний алгоритм шифрування, однак найбільш поширеним є RSA, саме він і використовується SSL-сертифікати.

Читайте також: Як запустити сайт на локальному комп’ютері

Перед тим, як вибирати сертифікат, непогано було б розібратися, навіщо вони потрібні і які функції виконують.

Будь SSL-сертифікат виконує відразу три важливі функції:

  • шифрування переданої інформації;
  • перевірка справжності ресурсу (аутентифікація);
  • забезпечення цілісності інформації, що передається.

Таким чином, користувачеві показується, що веб-ресурсу, до якого підключений сертифікат, можна довіряти.

Щоб зрозуміти, як працюють ці три функції SSL-сертифікатів, розглянемо простий приклад. Дівчинці Ані необхідно купити квиток на літак через сайт авіакомпанії, а для цього — відправити дані своєї кредитної карти. Щоб бути впевненою, що її дані не перехоплять сторонні особи, Аня перевіряє наявність сертифіката SSL на сайті обраної авіа-компанії. Зробити це просто: достатньо переконатися, що на початку адресного рядка є позначення https-з’єднання, виділеного, як правило, зеленим кольором. Саме воно підтверджує, що дані між браузером користувача і сервером компанії шифруються. В даному випадку авіакомпанія володіє двома ключами: відкритим, який доступний усім, і закритим, який знає тільки вона. Розшифрувати повідомлення, зашифроване відкритим ключем, можна тільки за допомогою закритого ключа, а зашифроване закритим — відкритим ключем. Якщо SSL-сертифікат компанії, яку обрала наша мандрівниця був виданий діючим сертифікаційним центром, то браузер Ані розпізнає його як довірений (аутентифікація) і за допомогою відкритого ключа зашифрує її дані. Навіть якщо зловмисник перехопить передану Анею інформацію, прочитати він її не зможе, так як не має закритий ключ для розшифрування.

Самоподписные SSL-сертифікати

Отримання сертифіката SSL, звісно, коштує грошей, при цьому він діє обмежена кількість часу. Тому багато використовують так звані самоподписные SSL-сертифікати. Згенерувати їх можна з допомогою панелі управління хостингом прямо на веб-сервері, причому зробити це можна абсолютно безкоштовно. Однак, далеко не завжди доцільно використовувати самоподписной сертифікат.

Будь-який браузер перевіряє, чи виданий сертифікат йому відомим центром сертифікації і, якщо немає (а це і є випадок самоподпісного сертифіката), видає на нього помилку і виводить на екран велику табличку з написом «Сертифікат безпеки сайту не є довіреною!».

Короткий гід по SSL-сертифікатами: що потрібно про них знати і як правильно вибрати

Читайте також: Як стати верстальником, або Чому ази верстки повинні знати всі

Таке повідомлення напевно відлякає потенційного клієнта від ресурсу, і той захоче покинути його, а власник сайту в свою чергу втратить значну частину своєї аудиторії. Так що, якщо мова йде про сайти з великим трафіком або ж інтернет-магазинах, використовувати самоподписанные SSL-сертифікати вкрай не рекомендується.

Такі небезпеки підстерігають кожного, хто не піклується про безпечне https-з’єднання. Тим не менш самозаверенные сертифікати цілком придатні для внутрішнього користування: наприклад, усередині невеликої організації, працівники якої додали сертифікат в довірені, так як знають його походження. Також вони підходять при використанні сервера Apache при розробці та тестуванні додатків.

Уразливість системи безпеки з допомогою SSL сертифікатів

Кажучи про купівлю SSL-сертифіката важливо розуміти, що сам по собі він не є чарівною паличкою, яка за помахом якої ви позбавляєте себе від всіх проблем, пов’язаних з безпекою сайту. Якими б складними не були механізми криптографічного шифрування, останньою інстанцією в інфраструктурі SSL-сертифікатів все одно є люди, і, отже, всі питання довіри впираються в людський фактор. Так, у вересні 2015 року компанія Symantec помилково своїх співробітників випустила 164 нелегітимних сертифіката 76 доменних імен. Ще один делікатний момент з використанням SSL-сертифікатів — це зберігання секретного ключа: заховати його в сейфі, ізолювавши від зовнішнього світу, не вийде, адже він часто використовується в процесі HTTPS-з’єднання, і є ймовірність злому сервера з метою перехоплення закритого ключа. Винуватцем злому може бути знову ж людина — адміністратор сервера, який не зміг з якихось причин захистити сервер. Тому власники закритих ключів часто встановлюють на них паролі.

Різновиди сертифікатів SSL

Якщо ж ви вирішили придбати SSL-сертифікат в одного з центрів сертифікації, то слід розібратися, які ж їх різновиди існують. З першого погляду вибрати собі SSL-сертифікат з безлічі тих, що представлені сьогодні на ринку досить складно: різниця в ціні може досягати 100 000 рублів, і не завжди зрозуміло, які з можливостей того чи іншого сертифіката дійсно потрібні конкретно вашого проекту. Однак розібратися в цьому можна, скориставшись чотирма основними критеріями, які слід враховувати при купівлі SSL-сертифіката:

  • бажана ступінь довіри до ресурсу;
  • кількість доменів та піддоменів, для яких здійснюється купівля сертифіката;
  • вид суб’єкта, який отримує сертифікат: фізична або юридична особа;
  • розмір фінансових можливостей для придбання сертифіката.
  • Розберемося спочатку з першим пунктом.

    Валідність вашого ресурсу може бути підтверджена трьома різними ступенями його перевірки. Відповідно, існує три різних види SSL-сертифіката, що розрізняються за типом валідації:

    • сертифікати, що підтверджують право володіння доменом (Domain Validation);
    • сертифікати, що підтверджують крім домену юридичне існування організації (Organization Validation);
    • сертифікати з розширеною перевіркою організації (Extended Validation).

    Domain Validation

    DV сертифікати підтверджують тільки факт того, що саме власнику сертифіката справді належить даний домен і є найбільш доступною різновидом SSL-сертифікатів. Дані сертифікати найкраще підійдуть для форумів і невеликих сайтів або блогів з не дуже великою кількістю відвідувачів.

    SSL-сертифікат такого рівня:

    • забезпечує тільки початковий рівень захисту;
    • доступний фізичним і юридичним особам;
    • не вимагає надання додаткових документів;
    • випускається протягом 5-10 хвилин;
    • обійдеться приблизно в 1-4 тисячі рублів за рік.

    Organization Validation

    OV-сертифікат підтверджує бізнес-статус організації і викликає куди більше довіри користувачів, ніж DV-сертифікат. Даний тип сертифіката добре підійде для онлайн-магазину і іншого невеликого інтернет-бізнесу.

    Сертифікат рівня захисту OV:

    • забезпечує середній рівень захисту;
    • видається тільки юридичним особам;
    • для реєстрації необхідно надати копії документів організації, рахунок телефонної компанії з вказаною назвою організації і номером телефону її власника;
    • випускається протягом 1-5 днів;
    • обійдеться приблизно від 4 000 до 50 000 рублів в рік.

    Читайте також: Як користуватися конструкторами сайтів, або Стануть хмарні платформи альтернативою CMS

    Extended Validation

    SSL-сертифікати з розширеним рівнем перевірки є найбільш надійними, але і найдорожчими. Добре підійдуть для великої і серйозної організації, для якої важливі престиж і безпека.

    Сертифікат рівня EV:

    • пропонує найвищий рівень захисту і найвищий рівень довіри серед інших сертифікатів SSL
    • видається тільки юридичним особам;
    • для реєстрації необхідні такі додаткові документи: свідоцтво про постановку на облік в податковому органі, повідомлення про реєстрацію юридичної особи, повідомлення про реєстрацію в якості страхувальника та інші;
    • підтримує кириличні домени;
    • випускається протягом 3-10 днів.
    • обійдеться приблизно від 10 000 до 100 000 рублів в рік.

    Також після документальної перевірки провайдер може зателефонувати за офіційно заявленому телефону організації, зробивши тим самим додатковий етап перевірки. Зате після проходження всього цього документообігу ваш сайт буде володіти найвищим рівнем довіри, про що буде свідчити зелена панелька з назвою компанії в адресному рядку. По ній користувачі зможуть визначити високий бізнес статус компанії, а при натисканні на панель дізнатися повні відомості про організацію. Сертифікати цього типу служать відмінним захистом від фішингу: з-за суворих вимог верифікації, зловмисники не зможуть пройти всі етапи перевірки, в результаті чого «липові» EV-сертифікати зустрічаються вкрай рідко.

    Ви запитаєте який сертифікат вибрати? Все залежить від спрямованості вашого сайту і вашого бюджету. Також незайвим буде подивитися якими SSL-сертифікатами користуються ваші партнери, конкуренти чи більш крупні сайти. Наприклад, відомий сервіс для бронювання готелів ostrovok.ru використовує PositiveSSL Wildcard сертифікат від Comodo; у популярному інтернет-магазині wildberries.ru використовується SGC OV Wildcard SSL сертифікат максимальної захищеності. На сайті Tinkoff.ru застосовується сертифікат EV SSL сертифікат від реєстраційного центру Thawte.

    Короткий гід по SSL-сертифікатами: що потрібно про них знати і як правильно вибрати

    Читайте також: Створення сайту на WordPress: покрокова відеоінструкція

    Ми рекомендуємо користувачам уважно перевіряти назва компанії, так як шахраї можуть створити «липову» організацію з схожою назвою і прив’язати до неї SSL-сертифікат.

    Що ж робити, якщо необхідно захистити відразу кілька піддоменів або різних доменів, які знаходяться на одному сервері?

    В цьому випадку необхідно буде придбати SAN (UCC) сертифікат, який відмінно підійде для мульти-доменних проектів і продуктів MS Exchange. Для захисту лише кількох піддоменів існують Wildcard-сертифікати. Купуючи такий сертифікат, ви забезпечуєте шифрування не тільки основного домену, але і необмеженої кількості піддоменів виду subdomain1.domain.com, subdomain2.domain.com і т. д. Однак не всі провайдери випускають Wildcard-сертифікати з захистом основного домену, тому перед замовленням варто окремо звернути на це увагу. Хоча основними перевагами Wildcard-сертифіката є зручність та економія (не потрібно піклуватися про сертифікат на кожен піддомен і платити за нього), тим не менше іноді дешевше все ж придбати окремі SSL-сертифікати на кожен піддомен, особливо якщо їх не дуже багато.

    Проведемо невелике порівняння великих постачальників SSL-послуг: Symantec, Thawte і Comodo. Незважаючи на те, що по суті, всі компанії продають практично один і той же продукт, є значні відмінності в сервісі. Symantec володіє найбільшою продовженої гарантією, що досягає 1 750 000 доларів. Дана сума буде виплачена в якості відшкодування збитків, якщо Symantec порушить умови гарантійних зобов’язань. Також, на озброєнні компанії є антивірусний захист, яка здійснює щоденне сканування сторінок на вашому хості, з метою виявлення шкідливих програм. Але, варто зауважити, що і просять за цей функціонал чимало — у Symantec найдорожчі сертифікати з усіх 3 представлених центрів. Найдоступніші сертифікати у Comodo, які також пропонують сервіс антивірусного сканування і PCI-аналізу. Thawte не пропонує жодних додаткових функцій і має середню з усіх ціною за SSL-сертифікат.

    Хотілося б відзначити, що сьогодні більшість власників сайтів набувають SSL-сертифікати відразу ж у хостинг-провайдерів. Незважаючи на те, що вони є, по суті, посередниками, ціна на сертифікати, за рахунок великих обсягів продажів, може бути навіть нижче ніж у самого сертифікаційного центру!

    Важливо відзначити, що не всі сертифікати підтримують IDN (Internationalized Domain Names). Ви можете підібрати собі сертифікат з ідеальним співвідношенням ціни і якості, але, якщо ви купуєте його для кириличного домену, зовсім не факт, що він вам підійде. SSL-сертифікати з підтримкою IDN можна придбати у таких компаній, як, наприклад, GlobalSign, Thawte, Comodo або Symantec.

    Висновок

    Вибираючи собі SSL-сертифікат зверніть увагу, які сертифікати вибрали ваші конкуренти і просто компанії з ідентичним продуктом, кількістю аудиторії та способом обмінюватися з нею інформації. Врахуйте також, що приємним бонусом до купівлі SSL-сертифікату буде той факт, що сайти з HTTPS-з’єднання ранжуються в пошуковій системі Google вище за інших. Додатково до цього, як нещодавно повідомила компанія Google, всі сайти не мають сертифікатів SSL та приймають паролі, номери кредитних карт, будуть поміщатися в Google Chrome як небезпечні. Це ще один аргумент на користь задуматися про придбання сертифіката SSL, тим більше що сьогодні HTTPS-з’єднання куди більш доступним для користувачів, ніж кілька років тому, а деякі компанії пропонують вигідні акції і навіть дарують сертифікати в якості бонусу.