Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

SSL

SSL (Secure Socket Layer) — это технология, разработанная с целью увеличения безопасности и надежности доступа к веб-сайтам. Ее суть заключается в передаче данных, зашифрованных сеансовым ключом, который в свою очередь закодирован по асимметричному алгоритму: шифрование производится с помощью открытого ключа, а расшифровка — с применением закрытого. SSL — надежный невзламываемый метод, успешно применяющийся для передачи конфиденциальных данных.

1.jpg

Благодаря сертификату безопасности трафик, который передается между сервером и браузером интернет-пользователя, полностью защищен. Для этого передача производится по протоколу https. Причиной создания такой технологии стала необходимость ввода личных данных на веб-страницах. Шифрование позволяет передавать пароли, личную переписку, данные банковских карт и другие сведения. Внедрение этой технологии помогло защитить данные от злоумышленников, занимающихся кражей конфиденциальной информации.

SSL и TLS

Технология SSL была разработана корпорацией Netscape Communications. На основе SSL 3.0 была создана спецификация TLS. Указанные технологии принципиально не различаются, поэтому могут применяться на сервере одновременно. Такая совместимость необходима для того, чтобы поддерживать работу новых и старых браузеров и компьютеров. В настоящее время в качестве сертификата шифрования применяется преимущественно TLS.

Как посмотреть сертификат

Чтобы посмотреть сведения о сертификате, надо открыть сайт и щелкнуть на значок в виде зеленого замочка, расположенный напротив адресной строки. Отобразится надпись о том, что соединение защищено. Также тут можно посмотреть дополнительные сведения, щелкнув «Подробнее».

2.jpg

Большинство веб-ресурсов работает на технологии TSL, поэтому у них отображается значок Secure TSL Connection. Чтобы увидеть сертификат, нужно нажать на View certificate. Основная информация включает в себя сведения о назначении: сертификат позволяет получать идентификацию и подтверждает ее.

Версии SSL

Первая версия сертификата шифрования SSL 1.0 не была распространена из-за наличия уязвимых мест. Обновленная спецификация SSL 2.0, представленная в 1995 г., тоже имела проблемы с обеспечением безопасности. Поэтому корпорация Netscape Communications приступила к разработке третьего варианта. В 1996 г. компания представила SSL 3.0. В 1999 г. лицензия на применение этого сертификата шифрования была приобретена компаниями Visa и MasterCard.

На основе третьей версии был создан TLS 1.0. Через 7 лет, в апреле 2006 г., разработчики представили версию TLS 1.1, в которой были устранены ошибки. В этом варианте уже внедрили сцепление блоков и обеспечили защищенность от атак. В 2008 году была представлена версия 1.2, а в 2016 году — версия 1.3.

Зачем нужен SSL для сайта

Пришло время, когда многие сайты переводятся с http на https, то есть на протокол, позволяющий создавать защищенное соединение клиента с сервером и передавать зашифрованные данные. Эта технология позволяет защитить передаваемые сведения от несанкционированного доступа. Чтобы работать с защищенным каналом, необходимо получить SSL-сертификат. Существует несколько видов и типов сертификатов, поэтому легко получить подходящий вариант, в зависимости от целей и необходимого уровня доверия к веб-ресурсу.

Принцип работы

Чтобы разобраться, как работают SSL и TLS, нужно знать основы взаимодействия сетевых устройств. Все участники сетевого взаимодействия работают по алгоритму OSI, состоящему из семи уровней. OSI — утопичная модель, поэтому фактически применяется упрощенный 4-уровневый вариант TCP/IP. Этот стандарт включает в себя множество протоколов прикладного уровня. Таких протоколов свыше двух сотен, но среди них наиболее распространены FTP, HTTP и SMTP.

Упрощенное объяснение

Протоколы складываются друг в друга, как матрешка. Если сайт работает по http, то получается упрощенная матрешка: протокол http помещается в стек TCP/IP, и информация отправляется от сервера к компьютеру.

3.png

Если ресурс имеет сертификат TSL, то матрешка имеет более сложную структуру: протокол http помещается в SSL/TSL, а затем в TCP/IP. В этом случае сведения зашифрованы, поэтому при перехвате информации злоумышленник получит непонятный код, который он не сможет расшифровать. Расшифровка возможна только на том устройстве, которое создало безопасное соединение с сервером.

4.jpg

Как происходит установка соединения SSL/TLS

Создание соединения между клиентом и сервером выполняется в несколько этапов:

  1. Сначала клиент устанавливает обычное (незащищенное) соединение с сервером и отправляет запрос на защищенное. Для создания безопасного канала TLS/SSL предназначается порт 443.
  2. Клиент сообщает серверу об алгоритмах шифрования, которые он может использовать. Сервер сопоставляет полученные сведения с собственным списком алгоритмов и выбирает такой тип шифрования, который подходит для обоих. После этого сервер сообщает клиенту, какой способ шифрования будет применяться. Преимущественно используются наиболее современные алгоритмы.
  3. Далее сервер предоставляет цифровой SSL-сертификат, подписанный мировым центром сертификации. После этого он высылает клиенту открытый ключ.
  4. Теперь клиент шлет запрос в мировой центр сертификации, чтобы проверить сертификат, полученный от сервера. Если ликвидность подтверждена, то формирование соединения продолжается. По умолчанию в операционной системе уже имеется множество сертификатов, которым можно доверять.
  5. После этого клиент генерирует случайную последовательность цифр, которая будет сеансовым ключом для шифрованного соединения. Клиент зашифровывает эту последовательность, применяя открытый ключ, ранее полученный на шаге 3, и высылает серверу.
  6. Так как применяется асимметричный алгоритм шифрования, для расшифровки нужен закрытый ключ. Таким образом, раскодировать данные и узнать сеансовый ключ способен только сервер.
  7. Установленное таким способом защищенное соединение функционирует до тех пор, пока не будет разорвано.

Получение SSL-сертификата

Один из главных вопросов, интересующих владельцев веб-сайтов, — «Где и как получить сертификат безопасности?»

Бесплатно. Наиболее простой способ — это применение самоподписного сертификата. Он может быть создан на серверах Apache либо IIS. Полученный таким методом сертификат можно применять для внутренних целей, но он не подходит для сайтов в интернете. Самоподписному сертификату никто не доверяет, поэтому в браузерах интернет-пользователей будет отображаться ошибка сертификата. Пользователи, увидев ошибку, сразу же закроют сайт, в итоге веб-ресурс потеряет посетителей.

Платно. Для получения SSL-сертификата нужно сформировать запрос на его выпуск — Certificate Signing Request или CSR-запрос. Обычно запрос делается у специальных организаций. Для этого надо заполнить форму, указав сведения о домене и компании. После этого сервер создает два ключа (закрытый и открытый), которые будут применяться для шифровки и расшифровки. Когда запрос сформирован, создается заявка на выпуск сертификата. Центр сертификации проверяет указанные сведения, и если все в порядке, то он выдает сертификат шифрования. После этого веб-ресурс способен работать по протоколу https, и можно шифровать данные, передаваемые по защищенному каналу между клиентом и сервером.

Что указывается в SSL-сертификате

Сертификат включает в себя следующую информацию:

  • уникальное наименование владельца;
  • открытый ключ;
  • дату, когда сертификат был выдан;
  • срок окончания действия;
  • полное название центра сертификации;
  • цифровую подпись.

Разновидности сертификатов безопасности

Бывает три разновидности SSL-сертификатов. Информация о них приведена в таблице.

Вид сертификата

Сокращение

Что подтверждает

Domain Validation

DV

Доменное имя веб-сайта.

Organization Validation

OV

Организацию и домен.

Extended Validation

EV

Организацию и домен, но проводится расширенная проверка.

Domain Validation. Наибольшее распространение в интернете получили SSL-сертификаты, предназначенные для подтверждения домена. Они создаются в короткие сроки и в автоматическом режиме. Если потребуется проверка сертификата, то владелец сайта может запросить электронное письмо на подтвержденный почтовый ящик, который был указан при заказе. Рекомендуется использовать электронные ящики с вашего домена, либо e-mail должен быть записан в информации whois доменного имени. Чтобы выдать этот сертификат, центр сертификации проверяет, имеет ли заказчик право на домен. В DV не указывается никакой информации о компании.

Organization Validation. Заказать этот сертификат могут только организации и индивидуальные предприниматели. Физическое лицо получить его не может. Создание OV-сертификата требует от 3 до 10 дней, время выпуска зависит от центра, в котором был сделан заказ.

Extended Validation. Если компании потребуется данный сертификат, то центр сертификации будет проводить расширенную проверку. При этом выясняется, реально ли существует компания и ей ли принадлежит указанное доменное имя. Возможно проведение проверки на наличие организации в специальных справочниках. Далее анализируется whois домена, и может потребоваться гарантийное письмо, подтверждающее владение доменным именем. Дополнительно проверяются свидетельство о госрегистрации, телефонные номера (могут позвонить и задать вопросы).

Этот тип сертификата наиболее дорогой, и есть сложности в его получении. Но когда такой SSL-сертификат получен, посетители сайта будут видеть зеленую строку с наименованием компании (green bar). Организации, получившие сертификат EV, вызывают наибольшее доверие, так как они прошли сложные проверки и соответствуют требованиям к выдаче такого сертификата. Выпуск EV-сертификата производится для всех типов организаций (коммерческих, некоммерческих, государственных) и требует около 2 недель. При этом производится анализ физической, операционной, правовой деятельности, проверка документации и прав владения доменным именем.

Типы SSL-сертификатов

Тип сертификата

Особенности

Стоимость в год, $

Обычные SSL-сертификаты

Создаются автоматически и подтверждают только доменное имя.

18–22

SGC-сертификаты

Поддерживают высокий уровень шифрования. Подходят для браузеров с 40—56-битным шифрованием, повышая уровень до 128 бит.

300

Wildcard-сертификаты

Предназначены для поддоменов главного домена. Стоимость зависит от количества субдоменов.

От 190

SAN-сертификаты

Предназначены для сервера, предоставляющего хостинг для множества сайтов с разными доменами.

400

EV-сертификаты

Расширенный сертификат Extended Validation.

250

Могут ли украсть данные?

Интернет-пользователей интересует вопрос, могут ли злоумышленники украсть данные, передаваемые по защищенному каналу, и как-либо использовать их? Перехват теоретически возможен, однако похититель получит только зашифрованные данные, не зная ключа. То есть для него это будет просто «цифровой мусор». Для расшифровки одного символа передаваемого послания требуется до 3 часов. Полная расшифровка требует слишком много времени и ресурсов, поэтому такой метод не может применяться для реального воровства информации. Поэтому технология SSL считается невзламываемой.

Примечание: протоколы https и SSL не дают гарантии, что сайт не заражен вирусами. Если на веб-ресурсе есть вредоносные программы, то они могут считывать данные прежде, чем информация будет зашифрована.

SSL и SEO

Поисковик Google заявил, что сайты, работающие на http, будут помечены поисковой системой как небезопасные. То есть с точки зрения простого пользователя они будут казаться «мошенническими». Кроме того, этот сигнал включен в число факторов, влияющих на ранжирование сайтов в поисковой выдаче, то есть оказывает влияние на SEO (но не слишком большое). Поэтому многие владельцы веб-ресурсов получили SSL-сертификаты и перевели свои сайты на протокол, поддерживающий шифрование данных.

SSL необходим для интернет-сайтов, собирающих какую-либо информацию о посетителях, особенно если нужно указывать данные банковских карточек. В таких случаях владелец веб-ресурса должен позаботиться о безопасности информации, чтобы не допустить кражу конфиденциальной информации. Для блогов и информационных сайтов шифрование не так важно, как для интернет-магазинов.

5.png

Мифы об SSL

Миф № 1. Из-за того, что Google пометит сайт как небезопасный, пользователи перестанут его посещать.

Сайты помечаются круглым значком с буквой «i», чтобы пользователи посмотрели дополнительную информацию. Если щелкнуть по значку, то отобразится сообщение о том, что соединение не защищено и посетителю не следует вводить никаких данных на сайте. Google не стремится запугивать пользователей, чтобы не потерять выстроенную поисковую выдачу и не распугать посетителей. Если веб-сайт не собирает персональные данные, то он не помечается как небезопасный.

Миф № 2. Сайты с https ранжируются выше.

В 2014 г. Google заявил, что SSL будет учитываться при ранжировании и что сайты с сертификатами имеют приоритет. На самом деле влияние этого фактора не превышает 1 %. «Гугл» учитывает тысячи факторов, поэтому наличие https не слишком сильно влияет на результат ранжирования. В 2017 г. стало известно, что вес этого фактора не будет увеличиваться. Для поисковика это было лишь экспериментом, в результате которого выяснилось, что внедрение технологии SSL не улучшило поисковую выдачу. При анализе результатов поиска видно, что часто сайты с http ранжируются выше, чем с https, так как влияние оказывают другие факторы, а не только наличие сертификата безопасности.

Миф № 3. Переезд на https происходит быстро и безопасно.

Для поисковых роботов переезд с протокола http на https аналогичен появлению нового сайта. То есть старый веб-ресурс полностью исчезает и появляется новый, о котором поисковая система еще ничего не знает. При этом история удаляется, а для всех веб-страниц требуются индексация и выбор нового места в выдаче. Поисковики негативно воспринимают резкие изменения на веб-ресурсах. На переезд и возврат прежних позиций может потребоваться 2–3 месяца. Однако неправильная настройка SSL для сайта может привести к тому, что ресурс совсем вылетит из индекса. Поэтому внедрять и настраивать эту технологию нужно правильно, и следует учитывать, собирает ли сайт данные пользователей или нет.

Выводы

SSL — прекрасный способ шифрования, позволяющий защитить данные от кражи. На практике еще никому не удалось взломать его. Для сайтов, занимающихся электронной коммерцией, обязательно нужен SSL-сертификат безопасности. Чтобы выбрать подходящую разновидность сертификата шифрования, нужно учитывать стоимость и что именно нужно подтверждать (домен, организацию). Использование этой технологии позволяет увеличить уровень доверия к сайту, так как риск кражи данных сведен к минимуму.

Однако наличие сертификата шифрования и работа по защищенному протоколу не дают никаких преимуществ в SEO-продвижении веб-ресурсов. Позиции в поисковой выдаче никак не зависят от http и https. При этом Google не помечает сайты без SSL как небезопасные, а просто уведомляет посетителей, что не надо вводить личные данные.

Если создается новый сайт, то его лучше сразу делать на https. Если имеется раскрученный сайт без SSL и на нем не производится прием платежей, то можно обойтись без шифрования. Но если требуется сбор конфиденциальной информации (в том числе данные банковских карт), то необходимо получить SSL-сертификат и обезопасить посетителей веб-ресурса.


Похожие темы: нет


Синонимы: нет
Все термины на букву «S»
Все термины в глоссарии

X | Закрыть