Сертификат SSL — что это такое и для чего он нужен?

Использование SSL-сертификата — один из важнейших элементов обеспечения безопасности вашего сайта. Шифрование данных не только защищает ваш домен, но и положительно влияет на уровень доверия пользователей и позиции в результатах поиска. В этой статье вы узнаете, что такое шифрование SSL и как оно работает, а также какие существуют типы сертификатов.

Сертификат SSL (Secure Sockets Layer) — это цифровой сертификат, который подтверждает подлинность веб-сайта и обеспечивает безопасную передачу данных в Интернете между браузером пользователя и сервером.  Протокол SSL был принят в качестве стандарта шифрования данных почти 30 лет назад и, конечно, за прошедшие годы решение эволюционировало, чтобы адаптироваться к изменяющимся потребностям пользователей. Но по-прежнему он остается стандартом безопасности для нормально функционирующих проектов.

SSL используется в различных прикладных протоколах — как при обслуживании веб-сайтов (протокол http) или отправке электронной почты, так и при работе с FTP-серверами.

Примечательно, что в настоящее время для шифрования данных и обеспечения аутентификации сервера используется новый протокол TLS (Transport Layer Security), который является преемником протокола SSL. Но он до сих пор называется SSL или TLS/SSL, чтобы подчеркнуть его связь с предыдущим протоколом, получившим широкое признание ранее.

Как работает SSL?

Все достаточно просто:

он шифрует всю информацию, которую пользователь отправляет через веб-сайт. Важно отметить, что SSL шифрует данные на уровне устройства (в браузере) и только потом пересылает их. Благодаря этому данные лучше защищены от вредоносного ПО или взлома.

Не вдаваясь в точные технические описания, принцип работы можно представить в несколько этапов:

1. Браузер отправляет запрос на сервер (при попытке открыть сайт)
2. Сервер возвращает ответ с копией SSL-сертификата.
3. Браузер проверяет действительность и правильность SSL-сертификата, чтобы отправить ответ на сервер после этого действия.
4. Сервер генерирует ключ
5. Браузер передает данные клиента через зашифрованный ключ
6. Сервер расшифровывает отправленный ключ и разрешает передачу зашифрованных данных.

Прежде чем вводить свои данные на сайте, проверьте, использует ли сайт безопасное соединение. 

• Во-первых, убедитесь, что в его адресе будет префикс «https://», например, «https://yourdomain.com».
• Во-вторых, значок закрытого замка в левой части адресной строки веб-сайта означает, что соединение с веб-сайтом зашифровано. Кроме того, если веб-сайт защищен сертификатом SSL EV (Extendet Validation), вы увидите зеленую полосу в поле браузера, где виден адрес веб-сайта. 

Если вы нажмете на значок замка, то увидите детали сертификата и сможете проверить его действительность:

• Доменное имя. 
• Владелец сертификата: лицо, организация или устройство.
• Центр сертификации: удостоверяющий центр, который выпустил сертификат. 
• Цифровая подпись: центр сертификации использует цифровую подпись, чтобы подтвердить аутентичность сертификата. 
• Связанные поддомены: SSL-сертификат может быть выпущен для определенного домена и всех его поддоменов. 
• Дата выдачи и срок действия SSL-сертификата. 
• Открытый ключ: используется для шифрования и расшифровки передаваемых данных. Закрытый ключ не раскрывается и остается в безопасности на веб-сервере.

Убедившись в подлинности SSL-сертификата, вы можете быть уверены в безопасности своих данных при взаимодействии с веб-сайтом. 

Почему стоит внедрить SSL-сертификат?

Отсутствие SSL-сертификата связано со многими рисками – это не только атаки в киберпространстве, но и позиционирование вашего сайта. Помимо GDPR (Положение о защите персональных данных), которое обязывает владельца веб-сайта защищать пользовательские данные, есть вероятность пометки его как опасного браузером, что значительно снижает доверие к вашему сайту.  

К наиболее важным преимуществам внедрения SSL-сертификата можно отнести: 

• целостность данных – даже если трафик будет перехвачен, злоумышленник не прочитает защищенные данные; 
• безопасность – пользователи веб-сайта могут быть уверены, что отправленная информация не попадет в чужие руки. Они с большей вероятностью совершат покупки или заполнят контактную форму на веб-сайте, защищенном SSL-сертификатом;
• большее доверие к сайту – SSL-сертификат подтверждает надежность веб-сайта, а более продвинутые сертификаты EV – и всей компании.
• положительное влияние на позиционирование сайта в поисковой выдаче (SEO).

Какие типы SSL-сертификатов доступны?

Сертификаты для среднестатистического владельца сайта в первую очередь можно разделить на бесплатные и платные. Однако на этом их деление не заканчивается.

Существует две основные классификации сертификатов TLS/SSL:

1. В зависимости от количества доменов или поддоменов для поддержки
2. В зависимости от необходимого уровня аутентификации:

В зависимости от количества поддерживаемых доменов или субдоменов:

• Однодоменный – один сертификат защищает только один домен или отдельный субдомен. Например, если вы покупаете сертификат для защиты www.abc.com, вы не можете использовать тот же сертификат для защиты субдомена help.abc.com.
• Подстановочный (Wildcard сертификат) – один сертификат защищает один домен и все поддомены под ним. Веб-сайты с групповым сертификатом имеют звездочку (*) и точку перед своим доменным именем. Например, домен, защищенный подстановочным сертификатом, обозначается https://*.abc.com, где «*» может быть любым из поддоменов abc.com, например help.abc.com, blog.abc.com и т. д. 
• Мультидоменный или сертификат альтернативных имен субъекта (MDC/SAN) – один сертификат защищает несколько доменов и поддоменов. Например, сертификат SAN (Subject Alternative Name), используемый для защиты сайта www.abc.com, может защитить сайты www.abc.org, www.abc.co.us, blog.abc.com и т. д. 

В зависимости от необходимого уровня аутентификации:

• Проверка домена (DV) – эти сертификаты TLS/SSL получить проще всего. URL-адрес веб-сайтов с сертификатами DV TLS/SSL будет иметь только HTTPS и замок, а не название компании. Следовательно, у посетителей нет возможности проверить, действительно ли веб-сайт принадлежит компании, которую они ищут, несмотря на безопасный знак. Сертификаты DV TLS/SSL можно получить за считанные минуты без проверки бизнеса.
• Проверка организации (OV) – сертификаты OV TLS/SSL используются организациями, которые имеют дело с конфиденциальными данными клиентов. Веб-сайты с сертификатами OV TLS/SSL имеют название своей компании в адресной строке вместе с HTTPS и замком. Поскольку эти сертификаты обеспечивают высокую надежность, они предоставляются только после надлежащей проверки центрами сертификации, стоят дороже, и их выпуск может занять день.
• Расширенная проверка (EV) – сертификаты EV TLS/SSL обеспечивают высочайший уровень безопасности, и их труднее всего получить. Чтобы получить сертификат EV, организация должна пройти тщательную проверку центром сертификации, которая включает проверку физического существования бизнеса. Веб-сайты с сертификатом EV TLS/SSL имеют название организации, код страны и замок зеленого цвета. Эти сертификаты очень дорогие, и их выдача может занять до 3 дней.

Все эти сертификаты выдаются по завершении DCV (проверки контроля домена), при которой организация должна доказать, что домен, для которого они запрашивают сертификацию, действительно принадлежит им.

Рассмотрим виды сертификатов подробнее

Сертификаты DV (Domain Validation) – проверка домена

Это самый простой и наиболее часто выбираемый тип сертификата. Он привязан к домену и не отправляет никакой информации о владельце сертификата в браузер Завершение процесса проверки домена ограничивается подтверждением заказа, отправленным на адрес электронной почты в домене сайта: «admin@certified_domain».

Установка данного типа SSL-сертификата будет хорошим решением для владельцев небольших интернет-магазинов, порталов, личных блогов или публичных форумов, где можно обменяться мнениями по конкретному вопросу.

Сертификаты OV (Organization Validation) – подтверждение организации

Этот вид сертификации подтверждает не только права на домен, но и данные, относящиеся к компании. Название компании будет отображаться в деталях выданного SSL-сертификата.

Для кого? Прежде всего, для сайтов, требующих от пользователей предоставления большого количества личных данных при регистрации, в том числе:

• имени и фамилии,
• номера телефона,
• адреса.

По этой причине нетрудно догадаться, что SSL-протокол проверки организации является хорошим решением для сложных веб-сайтов, через которые осуществляются онлайн-платежи и бронирование, например, проживания в отеле или записи к врачу.

Также на него следует обратить внимание администраторам, обслуживающим сайты с базами данных. Большинство платформ государственных администраций, где потенциальные хакеры могут найти конфиденциальные данные, также должны быть защищены таким протоколом SSL.

Сертификаты  EV (Extended Validation) – расширенная проверка 

Выдача этого сертификата требует гораздо более строгого анализа. Помимо отправки документов компании, вы должны будете пройти специальную проверку органом по сертификации. 

Веб-сайты с этим типом SSL-сертификатов легко распознать по данным компании в строке браузера, которые отмечены характерным замком. В адресной строке браузера такой SSL-сертификат дополнительно маркируется зеленым цветом.

Чаще всего сертификата EV встречается в платежных системах онлайн и в электронном банкинге, т.к. гарантирует максимально надежную защиту всех видов безопасности.

Стоит отметить, что бесплатные провайдеры предлагают только сертификаты DV. За остальное вы должны будете заплатить. 

Сертификаты Wildcard 

В случае подстановочного сертификата, обычно приобретаемого на год, владелец веб-сайта может защитить как домен, так и субдомены. Такое решение может быть полезно для людей, которые ведут, например, компанию-визитку, блог и интернет-магазин, которые используют для них адреса из домена второго порядка.

Обратите внимание, что шифрование соединения с Wildcard SSL-сертификатом будет неактивно для поддоменов третьего уровня.

Например, у вас есть Wildcard SSL-сертификат, выпущенный для «*.yourdomain.сom». Он будет шифровать данные для всех ваших доменов второго порядка: «first.yourdomain.com», «second.yourdomain.com», «www.yourdomain.com» и для основного домена «yourdomain.com».

Однако SSL-сертификат Wildcard не будет шифровать передачу для доменов третьего и последующих уровней, например, «www.first.yourdomain.com», «subdomain.first.yourdomain.com».

Мультидоменные сертификаты (Multi-Domain SSL Certificates, MDC)

Такие сертификаты SSL предлагают уникальные возможности для защиты комбинаций полностью уникальных доменных и поддоменных имен, включая домены верхнего уровня (TLD) различных типов, исключая только локальные и внутренние домены.

Количество доменов, которые вы можете включить в один такой сертификат, зависит от того, какой тип сертификата вы покупаете, но общая концепция остается неизменной, будь то 10, 25 или даже 100:

www.your-main-domain.com
www.your-secondary-domain.com
mail.your-secondary-domain.com
www.your-main-domain.net

Дополнительную привлекательность сертификатам MDC SSL придает его доступность в варианте расширенной проверки EV. Достаточно пройти процесс аутентификации всего один раз, и при этом получить зеленую адресную строку с названием вашей организации на всех зарегистрированных сайтах.

Таким образом, многодоменный SSL-сертификат — одно из лучших на сегодня решений для организаций и веб-мастеров, стремящихся обеспечить высокий уровень защиты для своих многочисленных веб-ресурсов.

Сертификаты унифицированных коммуникаций (Unified Communications Certificate, UCC)

Сертификат SSL UCC — это тип мультидоменного сертификата, специально предназначенный для продуктов Microsoft Exchange, Microsoft Office Communications Server и Live Communications Server. Однако независимо от того, используем ли мы перечисленные приложения, этот сертификат можно использовать и в других комбинациях. Функция, которая действительно определяет единственное различие между сертификатом UCC и обычным сертификатом SSL, заключается в использовании полей альтернативного имени субъекта (сокращенно SAN). Дополнительные поля могут содержать как доменные имена (например, www.domain.ru, domain2.com), так и другие имена (например, внутренние имена серверов, IP-адреса). Этот сертификат позволяет защитить как внутренние сетевые имена, так и внешние доменные имена. 

При выборе SSL-сертификата для вашего веб-сайта важно различать различные типы сертификатов, чтобы обеспечить должный уровень защиты в соответствии с потребностями вашего онлайн-проекта.

Покупка SSL-сертификата

Чтобы приобрести SSL-сертификат, вы можете перейти на веб-сайт предпочитаемого центра сертификации (ЦС) и выбрать из перечисленных вариантов сертификат, который лучше всего соответствует вашим потребностям по уровню безопасности сайта. Следующим шагом будет создание CSR — запроса на подпись SSL-сертификата. После отправки CSR центр сертификации свяжется с владельцем домена, для которого был запрошен сертификат, и предпримет необходимые шаги для проверки.

Проверив и одобрив запрос, CA выдаст вам SSL-сертификат, который вы должны установить на вашем веб-хосте или сервере.

После установки сертификата убедитесь, что ваш веб-сайт правильно работает по протоколу HTTPS. Планово проверяйте свой сертификат на срок его действия и своевременно продлевайте его, чтобы поддерживать безопасность.

Время получения сертификата может варьировать в зависимости от выбранного типа и ЦС. Обычно сертификаты, подтверждающие только домен, могут быть получены в течение нескольких минут или часов. Однако, сертификаты с расширенной проверкой могут занять несколько дней или даже неделю.

Можно ли установить один и тот же SSL-сертификат на разных серверах?

Да, возможно использование SSL-сертификата на нескольких серверах. Однако, это зависит от ЦС и лицензии на сертификат. 

Чтобы установить один и тот же сертификат на несколько серверов, сначала установите файлы сертификата на сервер, на котором изначально был создан CSR. Затем импортируйте файлы (вместе с закрытым ключом) на соответствующие серверы.

Таким образом, на каждом из ваших серверов будет установлена ​​копия сертификата с закрытым ключом. Поскольку этот процесс включает в себя копирование закрытого ключа на серверы, это нужно делать очень осторожно, чтобы закрытый ключ не был раскрыт. Ключ можно скопировать с помощью команд SSH или упаковать вместе с сертификатом в архив PKCS#12 (также известный как «PFX-файл») с шифрованием на основе пароля: это обеспечит достойную защиту ключа при его перемещении между двумя серверами. серверы, если пароль достаточно случайный.

Если тип серверов, на которые вы хотите скопировать сертификат, отличается от исходного типа сервера, вы можете запросить у центра сертификации создание дубликатов файлов сертификатов, совместимых с новым типом сервера.

Когда срок действия cертификата SSL истекает

Обратите внимание, что вы покупаете SSL-сертификат на определенный срок, по истечении которого необходимо его продлить. Детали процесса строго зависят от того, услугами какого провайдера вы пользуетесь, поэтому ищите подробную информацию на их сайте.

Чаще всего SSL-сертификаты имеют срок действия 12 месяцев, хотя это, конечно, дело индивидуальное. Согласно последним рекомендациям центра сертификации, срок действия SSL-сертификата обычно не должен превышать 27 месяцев: два года плюс запас в три месяца на его продление. 

Такой подход имеет несколько причин. Во-первых, он способствует безопасности, поскольку сокращает возможность злоумышленникам использовать устаревшие или компрометированные сертификаты. Кроме того, ограниченный срок действия SSL-сертификата способствует обновлению и совершенствованию криптографических алгоритмов и протоколов, повышая уровень безопасности коммуникаций.

Если срок действия нашего SSL-сертификата истекает, это не означает, что сайт будет заблокирован. Вы сможете продолжать использовать его, но в этом случае он будет отправлять информацию в незашифрованном виде. Это потенциально может быть использовано третьими лицами для атаки или кражи конфиденциальных данных.

В этом случае важно помнить, когда истечет срок действия сертификата. Ручная проверка каждого сертификата может занять много времени, особенно когда их много. Здесь могут помочь специальные онлайн-инструменты, которые позволяют контролировать действительность SSL-сертификатов.