Что такое SSL-сертификат и зачем он нужен

SSL-сертификат — это удостоверение вашего веб-сайта или организации, выданное центром сертификации. Оно подтверждает, что посетитель оказался на удостоверенном сайте, принадлежащем удостоверенной организации, а соединение с этим сайтом защищено по протоколу HTTPS.

Типы SSL-сертификатов

SSL-сертификаты разделяются по уровням проверки подленности домена. Существует 3 типа SSL-сертификата:
  • DV (Domain Validation) — сертификаты начального уровня с проверкой домена.
  • При выпуске DV-сертификата, сертификационным центром проверяется только право собственности на домен. Для получения сертификата не требуется никах документов, а выдаётся он обычно в течение 5-10 минут. Такие недорогие сертификаты хорошо подходят интернет-магазинам и небольшим веб-проектам.

  • OV (Organization Validation) — cертификаты бизнес-класса с проверкой организации.
  • Серитфикат бизнес-уровня выдаётся только после проверки документов юридического лица. Такой сертификат не только подтверждает право владения доменом, но и содержит информацию об организации. Срок выдачи сертиката от двух до десяти дней.

  • EV (Extended Validation) — сертификаты с расширенной проверкой.
  • EV-сертикат выдаётся юридическим лицам после тщательной проверки их валидационными центрами выдачи SSL-сертификатов. Отличительная черта EV-сертификата от OV-сертификата — зееная строка поиска в браузере и печать доверия сертификационного центра.

У этих сертификатов есть дополнительные опции:

  • WildCard — подтверждает домен и все его поддомены следующего уровня;
  • SAN — подтверждает домены по списку, указанному при получении SSL-сертификата.

Как работает SSL-сертификат

Данные между браузером посетителя и веб-сайтом проходят множество серверов и каналов связи. Чтобы эти данные не попали в чужие руки, они шифруются. Для этого каждой стороной применяется по паре цифровых ключей — длинных последовательностей символов. Один из них является открытым (публичным), а другой — секретным (частным). Внутри каждой пары ключи математически связаны между собой, но определить секретный по открытому невозможно. Практически невозможно. Для зашифровывания данных используется открытый, а для расшифровки — секретный.

Чтобы безопасно переслать данные веб-серверу, браузер шифрует их с помощью открытого ключа этого сервера. После получения зашифрованных данных сервер расшифровывает их своим секретным ключом.

При отправке данных браузеру всё происходит в зеркальном порядке. Сервер шифрует данные открытым ключом браузера, а после доставки данных они расшифровываются секретным ключом браузера.

Схема

Для перехода в защищённый режим обмена данными по протоколу HTTPS нужно, чтобы на веб-сервер была установлена описанная ключевая пара.

Зачем нужен SSL-сертификат

Получение пары криптографических ключей не является очень сложной задачей. Существует специальное программное обеспечение для их генерации.

Самые известные бесплатные генераторы с открытым исходным кодом — OpenSSL и PuTTY.

Однако, если ключи, полученные таким образом, просто установить на веб-сервер, вместо защиты посетитель сайта получит сообщение о том, что запрошенное соединение может быть небезопасным.

Почему так произойдёт? — Потому что браузер посетителя не будет «уверен» в том, что открытый ключ, полученный от веб-сервера, соответствует указанным веб-адресу (домену) или организации.

Not secure

Для удостоверения этого ключа нужно, чтобы какая-то третья сторона подтвердила, что он относится к указанному домену или организации.

В качестве такой третьей стороны выступают центры сертификации, которые своей цифровой подписью удостоверяют открытый ключ и его принадлежность.

Список корневых центров сертификации изначально имеется в дистрибутивах основных веб-браузеров.

Certificate Manager

Изготовить собственный SSL-сертификат можно, и он будет вполне обеспечивать защиту пересылаемых данных. Однако доверие к нему будет ограничиваться только кругом лиц, среди которых вы сможете удостоверить свой SSL-сертификат тем или иным способом. При этом, каждый из посетителей вашего веб-сайта или пользователей системы с веб-интерфейсом должен вручную указать, что он доверяет вашему сертификату.

Использовать собственный SSL-сертификат можно, например, внутри предприятия или иной ограниченной группы пользователей.

Как получить сертификат

Получить SSL-сертификат — по крайней мере типа DV — несложно. Владельцу домена достаточно выполнить следующие действия.

  • Сгенерировать криптографическую пару. Её можно получить и на следующем шаге: при формировании CSR-запроса.
  • Сформировать запрос (CSR-файл) на получение SSL-сертификата с приложением своего открытого ключа.
  • Отправить заявку.
  • В ответ на запрос центра сертификации подтвердить свои административные права на веб-сервере, соответствующем указанному домену.
  • Установить полученный в виде файла SSL-сертификат на свой веб-сервер.

При получении сертификатов типа OV или EV, кроме указанных действий, потребуется пройти ряд дополнительных организационных процедур. О них подробно рассказано в нашей статье «Получение OV- и EV-сертификата — Что нужно знать?».

Самыми недорогими являются сертификаты типа DV. Они существенно дешевле сертификатов типа OV и, тем более, EV.

Сегодня почти все крупные хостеры и провайлеры облачных услуг помогают в получении ssl-сертификата. Они так же как и владелец сайта заинтересованы в безопасности работы с ресурсами, расположенными на их мощностях.

Заключение

SSL-сертификат позволяет сайту работать по защищенному протоколу https. SSL-сертификат обеспечивает безопастную работу вашего сайта и сообщает пользователем о том, что сайту можно доверять. Получить ssl-сертификат для сайта обсалютно не сложно. Достаточно обратиться к вашему хостеру или облачному провайдеру.

Сегоня всё еще можно встретить сайты, работающие по протоколу http, однако в будущем https станет всеобщем стандартом. Поэтому если ваш ресурс всё ещё bиспользует http — стоит подумать о переходе на https.

P. S. Что ещё прочитать по этой теме: