«Зелёные замочки» в разных браузерах

Протокол HTTPS обеспечивает безопасное зашифрованное соединение браузера интернет-пользователя с веб-сервером, что очень важно при пересылке конфиденциальной информации: учётных данных, паспортных данных, номеров банковских карт и т. п.

Очевидно, нужно информировать пользователя о статусе соединения, чтобы он знал и понимал, насколько безопасны его действия.

Большинство современных браузеров так или иначе отображают тип текущего протокола: HTTP или HTTPS. Но делают они это по-разному!

Обычно сведения о типе соединения представлены в адресной строке браузера.

Примеры отображения типа соединения в браузерах Chrome, Firefox, Opera и Internet Explorer приведены в следующей таблице.

  HTTP HTTPS
http://example.com https://example.com
Chrome example example
FireFox example example
Opera example example
Internet Explorer example example

HTTPS

В протоколе HTTPS используется SSL-сертификаты, которые позволяют зашифровать данные, пересылаемые через интернет. Они бывают разных типов.

Тип SSL-сертификата Пояснение
DV Domain Validation Удостоверен домен
OV Organization Validation Удостоверена организация, владеющая доменом
EV Extended Validation Углублённая проверка организации, владеющей доменом

SSL-сертификаты всех указанных типов обеспечивают надёжное шифрование данных. Отличаются они уровнем проверки владельца домена.

Сертификатом типа DV можно подтвердить домен, зарегистрированный частным лицом, а сертификаты типов OV и EV выдаются только для доменов, зарегистрированных организациями.

DV

SSL-сертификат типа DV — самый распространённый. Он подтверждает тот факт, что посетитель находится на сайте в указанном домене, а не перенаправлен на какой-то иной сайт.

  HTTPS / SSL DV
Chrome example
Firefox example
Opera example
Internet Explorer example
example

Очевидно, в приведённых примерах наиболее заметная индикация защищённого соединения — в браузере Google. А наименее заметная — в Internet Explorer, в котором значок закрытого замка из серого превращается в жёлтый только, если пользователь навёл на него указатель.

Вполне приемлемой можно признать индикацию защищённого соединения в браузерах Firefox и Opera. В Opera она — компактнее, но нет текстового отображения протокола.

OV

SSL-сертификат типа OV выдаётся только организациям, то есть по сравнению с сертификатом типа DV, он подтверждает не только домен, но и его владельца. Это может быть весьма актуальным, например, при посещении интернет-магазина. К сожалению, в настоящее время соединение по сертификату типа OV отображается браузерами так же, как и соединение по сертификату DV.

Чтобы узнать, какой организации принадлежит домен, пользователь должен посмотреть свойства сертификата. Это возможность доступна всем посетителям сайта, но большинству из них воспользоваться ей будет сложно.

Остаётся надеяться на то, что разработчики веб-браузеров обратят внимание на эту проблему и найдут ей оптимальное решение.

EV

SSL-сертификат типа EV обычно имеют очень крупные организации, так как процедура его получения довольно сложная, дорогая и трудоёмкая.

При посещении веб-сайта, защищённого сертификатом типа EV, в адресной строке отображается название организации, на которую зарегистрирован домен.

Обычно название организации или вся адресная строка окрашены зелёным цветом, поэтому этот вид сертификата иногда называют сертификатом с «зелёной строкой».

  HTTPS / SSL EV
Chrome sberbank https
symantec https
citibank https
Firefox sberbank https
symantec https
citibank https
Opera sberbank https
symantec https
citibank https
Internet Explorer sberbank https
symantec https
citibank https

Как известно, на вкус и цвет товарища нет. Нам представляется оптимальным способ отображения соединения по сертификату типа EV в браузере Opera.

В браузере Internet Explorer отображение наименее компактное, но зелёное поле адресной строки впечатляет. Кроме того, там представлен значок организации.

Ошибки HTTPS

Мы рассказали о случаях, когда при посещении сайта устанавливается защищённое соединение по протоколу HTTPS.

Иногда при таком соединении могут возникать ошибки. Причин тому может быть несколько.

Незначительные ошибки

Последнее время распространились ошибки, связанные с неполной защитой содержания страниц. Например, владелец сайта защитил свой сайт и свою страницу сертификатом, но включил в содержание страницы изображение с другого, незащищённого, сайта. В результате, несмотря на полную защиту основного содержания страницы, соединение становится менее конфиденциальным.

Ещё хуже ситуация, когда из стороннего источника в состав страницы включается активное содержание, например, скрипты JavaScript.

Такого рода ошибки не помещают установлению соединения по протоколу HTTPS, и желанная страница будет отображена. При этом, большинство браузеров сообщит об обнаруженной проблеме специальным значком.

Chrome badssl
Firefox badssl
Opera badssl
Internet Explorer sberbank https

Значительная ошибка

Как уже было сказано, в протоколе HTTPS используются криптографические сертификаты SSL, которые имеют ряд параметров, например, имя издателя сертификата, имя получателя, защищённый домен и другие. Эти параметры должны соответствовать определённым правил, нарушение которых может привести к тому, что защищённое соединение не будет установлено, и содержимое веб-страницы не будет отображено.

Наиболее простым примером критической ошибки является окончание срока действия сертификата. Ниже приведены сообщения браузеров об этой ошибке.

Chrome badssl chrome
Firefox badssl ff
Opera badssl op
Internet Explorer badssl ie

Заключение

Проблема наглядного, удобного, полного и своевременного информирования пользователя о статусе его соединения с веб-сайтом — не праздная и не надуманная. От того, насколько пользователь понимает, в каком соединении он посещает сайт, зависит его безопасность и конфиденциальность.

 

P.S. Наши другие матеиалы по теме SSL-сертификатов:

 

Зарегистрироваться