На сегодняшний день, в связи с повышенным интересам к SSL — технологиям, увеличивается количество действующих SSL — сертификатов во всех доменных зонах. К сожалению, подавляющее большинство не имеет понятия о чём идёт речь, когда слышат о данной технологии. В следствии чего, мы постараемся объяснить значение и поможем с выбором того сертификата, который необходим именно вашему проекту, конечно в том случае, если без него нельзя обойтись.
Для организации передачи данных между браузером и сервером по защищенному протоколу, используется связка ключей, которая выполняет шифрование передаваемой информации с помощью публичного ключа (открытого для всех) и расшифровку её с помощью приватного (закрытого, известного только его владельцу). Такое шифрование называется асимметричным. Данная инфраструктура построена на основе международного стандарта x.509, который формирует следующий состав электронного сертификата:
- номер версии сертификата (1-3);
- порядковый номер;
- идентификатор алгоритма подписи;
- имя организации, выдавшей сертификат;
- срок действия сертификата;
- имя владельца сертификата;
- открытый ключ владельца сертификата;
- цифровая подпись.
В SSL — сертификатах используется RSA шифрование. Стандарт x.509 предусматривает и другие алгоритмы, но в данной теме мы не будем заострять на это внимание.
Как выбрать SSL-сертификат для сайта или интернет-магазина
Изначально, перед выбором сертификата, необходимо разобраться, для каких целей они используются и какие функции могут выполнять.
Все SSL-сертификаты выполняет сразу три важные функции:
- шифрование передаваемой информации;
- проверка подлинности ресурса (аутентификация);
- обеспечение целостности передаваемой информации.
Данный функционал отображает посетителю веб — ресурса, что ему можно доверять.
Для того чтобы понять, по какому принципу работают основные функции SSL – сертификатов, рассмотрим обычный пример: Иван Иванович хочет совершить покупку в Интернет магазине с помощью кредитной карты, для этого ему необходимо отправить её данные.
Чтобы быть уверенным, что его данные не смогут перехватить сторонние лица, Иван Иванович проверяет наличие SSL – сертификата на сайте выбранного Интернет магазина. Делается это очень просто: в адресной строке браузера в начале должно обозначаться https – соединение, в некоторых случаях, при использовании особых типов сертификатов, оно будет подсвечено зелёным цветом (с расширенной проверкой (EV)).
Именно это подтверждает, что данные между браузером пользователя и сервером Интернет магазина шифруются. В данном случае Интернет магазин обладает двумя ключами: публичным (открытым), который доступен всем, и приватным (закрытым), который знает только он. Расшифровать сообщение, зашифрованное публичным ключом, можно только при помощи приватного ключа, а зашифрованное приватным — публичным ключом.
Если SSL-сертификат магазина, которой выбрал наш покупатель был выдан действующим сертификационным центром, то браузер Ивана Ивановича распознаёт его как доверенный (аутентификация) и при помощи публичного ключа зашифрует его данные. Даже если злоумышленник перехватит переданную Иваном Ивановичем информацию, прочесть он её не сможет, так как не обладает приватным ключом для её расшифровки.
Самоподписные SSL-сертификаты
Выпуск SSL сертификата, услуга не бесплатная, в добавок сертификат имеет ограниченный период действия. Исходя из этого некоторые используют самоподписные SSL – сертификаты. Такие сертификаты генерируется самостоятельно через панель управления хостингом или через консоль сервера и соответственно бесплатно. Но такие сертификаты использовать на публичных ресурсах не целесообразно.
Все браузеры выполняют проверку, выдан ли сертификат известному ему центром сертификации, и в случае неудачной проверки (при использовании само-подписного сертификата), выдаст ошибку с надписью: «Ваше соединение не защищено» (в зависимости от браузера сообщение может быть другим).
Данное сообщение отпугнёт большую часть потенциальных клиентов от ресурса, а также владелец потеряет значительную аудиторию. Следовательно, для крупных проектов с большой посещаемостью, не рекомендуется использовать самоподписные SSL – сертификаты.
Бесплатные SSL – сертификаты
Существуют центры сертификации (например, Let`s Encrypt), предоставляющие бесплатные криптографические сертификаты X.509 для TLS-шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован. Данные сертификаты нельзя выпустить просто так. Интеграция программного обеспечения для выпуска таких сертификатов встроена в распространённые панели управления хостингом, как платные (ISP Manager, C-Panel и т.д.) так и бесплатные (например, VESTA CP).
Так же имеется возможность установки программного обеспечения на сервера без использования панели управления. Данные сертификаты полностью работоспособны и не вызывают предупреждений и ошибок, как в случае самоподписных. Центры сертификации (например, Let`s Encrypt) безошибочно проходят проверку во всех браузерах. Единственный минус таких сертификатов – они выпускаются сроком на 3 месяца и администратору сервера необходимо следить, чтобы не произошёл сбой в автоматическом режиме при продлении сертификата. В 2018 году Let`s Encrypt так же начали выдачу Wildcard сертификатов, о них вы можете прочитать ниже.
Уязвимости системы защиты с помощью SSL-сертификатов
При покупке SSL – сертификаты, необходимо понимать, что он не является нерушимой стеной и не избавит вас от абсолютно всех проблем, связанных с безопасностью ресурса. Какими бы сложными ни были механизмы криптографического шифрования, последней инстанцией в инфраструктуре SSL-сертификатов всё равно является человеческий фактор. Например, в сентябре 2015 года компания Symantec по ошибке своих сотрудников выпустила 164 не легитимных сертификата для 76 доменных имен.
Краеугольный камень при использовании SSL – сертификатов, это хранение приватного (закрытого) ключа. Его нельзя изолировать от внешнего мира, по причине его участия в процессе HTTPS – соединений, и остается вероятность взлома сервера в целях перехвата приватного ключа. Естественно виновником взлома будет человек, а причиной может стать плохая организация защиты сервера. Следовательно, на приватные ключи чаще всего устанавливают пароли.
Какие бывают SSL-сертификаты
Если вы уже решили приобрести SSL – сертификат, то необходимо разобраться, какие разновидности существуют. При выборе SSL – сертификата в первый раз, а иногда и при повторном, сложно определить среди множества предлагаемых сертификатов центров сертификации, какой необходим в вашем случае.
Обратите внимание, разница в цене может быть в среднем 100 000 рублей, а переплачивать за возможности сертификата, которые вы не будете использовать нерентабельно. Для того чтобы разобраться, какие возможности должен предо-ставить вам сертификат, рассмотри основные четыре критерия, которые необходимо учитывать при покупке SSL – сертификата.
- желаемая степень доверия к ресурсу;.
- количество доменов и поддоменов, для которых осуществляется покупка сертификата;
- вид субъекта, приобретающего сертификат: физическое или юридическое лицо;
- размер финансовых возможностей для приобретения сертификата.
Рассмотрим особенности первого пункта.
Валидность вашего ресурса может быть подтверждена тремя различными степенями его проверки. Соответственно, существует три разных вида SSL-сертификата, различающихся по типу валидации:
Domain Validation
DV сертификаты являются самыми доступными, так как подтверждают только принадлежность доменного имени владельцу сертификата. Данные сертификаты подходят для личных блогов, небольших сайтов с не очень большим количеством посетителей.
DV SSL - сертификат:
- обеспечивает только начальный уровень защиты;
- доступен физическим и юридическим лицам;
- не требует предоставление дополнительных документов;
- выпускается в течение 5-10 минут;
- обойдётся примерно в 1-4 тысячи рублей за год.
Organization Validation
OV сертификаты оптимально подходят для Интернет магазинов и небольшого Интернет бизнеса, так ка подтверждают бизнес-статус организации.
OV SSL - сертификат:
- обеспечивает средний уровень защиты;
- выдаётся только юридическим лицам;
- для регистрации необходимо предоставить копии документов организации, счёт телефонной компании с указанным названием организации и номером телефона её владельца;
- выпускается в течение 1-5 дней;
- обойдётся примерно от 4 000 рублей до 50 000 рублей в год.
Extended Validation
EV сертификаты - с расширенным уровнем проверки? являются самыми надёжными, но и самыми дорогстоящими. Хорошо подойдут для крупной и серьезной организации, для которой важны престиж и безопасность.
EV SSL - сертификат:
- предлагает самый высокий уровень защиты и наивысший уровень доверия среди других SSL-сертификатов;
- выдаётся только юридическим лицам;
- для регистрации необходимы следующие дополнительные документы: свидетельство о постановке на учёт в налоговом органе, уведомление о регистрации юридического лица, извещение о регистрации в качестве страхователя и другие;
- поддерживает кириллические домены;
- выпускается в течение 3-10 дней;
- обойдётся примерно от 10 000 до 100 000 рублей в год.
В большинстве случаев, провайдер после документальной проверки совершает по заявленному телефонному номеру звонок, фиксируя этим дополнительный этап проверки. Процедура не быстрая и не из лёгких, но тем самым вы будете иметь максимальный уровень доверия и об этом будет свидетельствовать зелёная строка в адресном поле браузера с названием компании.
Пользователи вашего ресурса смогут не только определить высокий бизнес статус компании, а также при нажатии на панель, получить полные сведения об организации. Сертификаты типа EV служат отличной защитой от фишинга: из-за строгих требований верификации, злоумышленники не смогут пройти все этапы проверки, в результате чего “липовые” EV-сертификаты встречаются в крайне редких случаях.
Итак, какой же SSL – сертификат выбрать? Всё зависит от направленности вашего сайта и вашего бюджета. Так же стоит изучить информацию об использовании сертификатов другими ресурсами по смежной с вами тематики.
Например, известный магазин музыкального оборудования pop-music.ru использует DV сертификат от GlobalSign; в популярном интернет-магазине wildberries.ru используется SGC OV SSL Wildcard сертификат максимальной защищённости. На сайте sberbank применяется сертификат EV SSL сертификат от регистрационного центра Thawte Inc.
Будьте внимательны при проверке названия компании, так как мошенники могут дискредитировать информацию в целях получения информации или создать клон с похожим названием и привязать к нему SSL – сертификат.
SAN (UCC) сертификат и Wildcard-сертификаты
Если у вас мультидоменный проект, то вам проще и необходимо приобрести SAN (UCC). А для защиты нескольких поддоменов одного домена Wildcard-сертификат. Приобретая такой сертификат, вы обеспечиваете шифрование не только основного домена, но и неограниченного количества поддоменов вида subdomain01.domain.com, subdomain02.domain.com и т.д. Главное обратите внимание на то, что не все центры сертификации предоставляют защиту основного домена.
Небольшое сравнение крупных поставщиков SSL-услуг: Symantec, Thawte и Comodo. По сути, все компании продают практически один и тот же продукт, есть значительные отличия в сервисе. Symantec обладает самой большой продлённой гарантией, достигающей 1 750 000 долларов. Данная сумма будет вы-плачена в качестве возмещения убытков, если Symantec нарушит условия гарантийных обязательств.
Также, на вооружении компании есть антивирусная защита, которая осуществляет ежедневное сканирование страниц на вашем хосте, с целью выявления вредоносных программ. Но, стоит заметить, что и просят за этот функционал немало - у Symantec самые дорогие сертификаты из всех 3 представленных центров. Самые доступные сертификаты у Comodo, которые также предлагают сервис антивирусного сканирования и PCI-анализа. Thawte не предлагает каких-либо дополнительных функций и обладает средней из всей цены за SSL-сертификат.
Можно отметить, что в большинстве случаях приобретать SSL – сертификат выгоднее у хостинг компании, где вы арендуете ресурсы, как правило такие компании работает по партнерским соглашениям и соответственно имеют более выгодную стоимость услуг.
Важно отметить, что не все сертификаты поддерживают IDN (Internationalized Domain Names). Так что если приобретаете сертификат для кирилического домена, так же обратите на это внимание.
Заключение
При выборе SSL – сертификата обратите внимание, какие сертификаты используют конкуренты и компании по смежным направлениям, изучите количество аудитории и способы обмена информации. Учтите также, что приятным бону-сом к покупке SSL-сертификата будет тот факт, что сайты с HTTPS-соединением ранжируются в поисковой системе Google выше остальных.
Вдобавок к этому, как недавно сообщила компания Google, все сайты, не имеющие SSL-сертификатов и принимающие пароли, и номера кредитных карт, будут помещаться в Google Chrome как небезопасные. Это, пожалуй, самый весомы аргумент в сторону приобретения SSL – сертификата, тем более что сегодня HTTPS-соединение куда более доступно для пользователей чем несколько лет назад. А ещё большинство хостинг компаний предоставляют SSL – сертификат на год в рамках подарка при аренде доменного имени.