SSL-сертификат — это удостоверение вашего веб-сайта или организации, выданное центром сертификации. Оно подтверждает, что посетитель оказался на удостоверенном сайте, принадлежащем удостоверенной организации, а соединение с этим сайтом защищено по протоколу HTTPS.
Типы SSL-сертификатов
SSL-сертификаты разделяются по уровням проверки подленности домена. Существует 3 типа SSL-сертификата:При выпуске DV-сертификата, сертификационным центром проверяется только право собственности на домен. Для получения сертификата не требуется никах документов, а выдаётся он обычно в течение 5-10 минут. Такие недорогие сертификаты хорошо подходят интернет-магазинам и небольшим веб-проектам.
Серитфикат бизнес-уровня выдаётся только после проверки документов юридического лица. Такой сертификат не только подтверждает право владения доменом, но и содержит информацию об организации. Срок выдачи сертиката от двух до десяти дней.
EV-сертикат выдаётся юридическим лицам после тщательной проверки их валидационными центрами выдачи SSL-сертификатов. Отличительная черта EV-сертификата от OV-сертификата — зееная строка поиска в браузере и печать доверия сертификационного центра.
- DV (Domain Validation) — сертификаты начального уровня с проверкой домена.
- OV (Organization Validation) — cертификаты бизнес-класса с проверкой организации.
- EV (Extended Validation) — сертификаты с расширенной проверкой.
У этих сертификатов есть дополнительные опции:
- WildCard — подтверждает домен и все его поддомены следующего уровня;
- SAN — подтверждает домены по списку, указанному при получении SSL-сертификата.
Как работает SSL-сертификат
Данные между браузером посетителя и веб-сайтом проходят множество серверов и каналов связи. Чтобы эти данные не попали в чужие руки, они шифруются. Для этого каждой стороной применяется по паре цифровых ключей — длинных последовательностей символов. Один из них является открытым (публичным), а другой — секретным (частным). Внутри каждой пары ключи математически связаны между собой, но определить секретный по открытому невозможно. Практически невозможно. Для зашифровывания данных используется открытый, а для расшифровки — секретный.
Чтобы безопасно переслать данные веб-серверу, браузер шифрует их с помощью открытого ключа этого сервера. После получения зашифрованных данных сервер расшифровывает их своим секретным ключом.
При отправке данных браузеру всё происходит в зеркальном порядке. Сервер шифрует данные открытым ключом браузера, а после доставки данных они расшифровываются секретным ключом браузера.
Для перехода в защищённый режим обмена данными по протоколу HTTPS нужно, чтобы на веб-сервер была установлена описанная ключевая пара.
Зачем нужен SSL-сертификат
Получение пары криптографических ключей не является очень сложной задачей. Существует специальное программное обеспечение для их генерации.
Самые известные бесплатные генераторы с открытым исходным кодом — OpenSSL и PuTTY.
Однако, если ключи, полученные таким образом, просто установить на веб-сервер, вместо защиты посетитель сайта получит сообщение о том, что запрошенное соединение может быть небезопасным.
Почему так произойдёт? — Потому что браузер посетителя не будет «уверен» в том, что открытый ключ, полученный от веб-сервера, соответствует указанным веб-адресу (домену) или организации.
Для удостоверения этого ключа нужно, чтобы какая-то третья сторона подтвердила, что он относится к указанному домену или организации.
В качестве такой третьей стороны выступают центры сертификации, которые своей цифровой подписью удостоверяют открытый ключ и его принадлежность.
Список корневых центров сертификации изначально имеется в дистрибутивах основных веб-браузеров.
Изготовить собственный SSL-сертификат можно, и он будет вполне обеспечивать защиту пересылаемых данных. Однако доверие к нему будет ограничиваться только кругом лиц, среди которых вы сможете удостоверить свой SSL-сертификат тем или иным способом. При этом, каждый из посетителей вашего веб-сайта или пользователей системы с веб-интерфейсом должен вручную указать, что он доверяет вашему сертификату.
Использовать собственный SSL-сертификат можно, например, внутри предприятия или иной ограниченной группы пользователей.
Как получить сертификат
Получить SSL-сертификат — по крайней мере типа DV — несложно. Владельцу домена достаточно выполнить следующие действия.
- Сгенерировать криптографическую пару. Её можно получить и на следующем шаге: при формировании CSR-запроса.
- Сформировать запрос (CSR-файл) на получение SSL-сертификата с приложением своего открытого ключа.
- Отправить заявку.
- В ответ на запрос центра сертификации подтвердить свои административные права на веб-сервере, соответствующем указанному домену.
- Установить полученный в виде файла SSL-сертификат на свой веб-сервер.
При получении сертификатов типа OV или EV, кроме указанных действий, потребуется пройти ряд дополнительных организационных процедур. О них подробно рассказано в нашей статье «Получение OV- и EV-сертификата — Что нужно знать?».
Самыми недорогими являются сертификаты типа DV. Они существенно дешевле сертификатов типа OV и, тем более, EV.
Сегодня почти все крупные хостеры и провайлеры облачных услуг помогают в получении ssl-сертификата. Они так же как и владелец сайта заинтересованы в безопасности работы с ресурсами, расположенными на их мощностях.
Заключение
SSL-сертификат позволяет сайту работать по защищенному протоколу https. SSL-сертификат обеспечивает безопастную работу вашего сайта и сообщает пользователем о том, что сайту можно доверять. Получить ssl-сертификат для сайта обсалютно не сложно. Достаточно обратиться к вашему хостеру или облачному провайдеру.
Сегоня всё еще можно встретить сайты, работающие по протоколу http, однако в будущем https станет всеобщем стандартом. Поэтому если ваш ресурс всё ещё bиспользует http — стоит подумать о переходе на https.
P. S. Что ещё прочитать по этой теме:
- HTTP-сайты будут считаться небезопасными
- Получение OV и EV сертификата - что нужно знать?
- Область покрытия SSL-сертификатов
- Цепочки SSL-сертификатов
- Кириллические домены и SSL-сертификаты
- Блокчейн — О чём звон?
