Что такое SSL-сертификат и зачем его покупать?

653

SSL-сертификат — это удостоверение вашего веб-сайта или организации, выданное центром сертификации. Оно подтверждает, что посетитель оказался на удостоверенном сайте, принадлежащем удостоверенной организации, а соединение с этим сайтом защищено по протоколу HTTPS.

Типы SSL-сертификатов:

  • DV — Domain Validation — подтверждает домен;
  • OV — Organization Validation — подтверждает организацию и домен;
  • EV — Extended Validation — подтверждает организацию и домен после углублённой проверки.

У этих сертификатов есть дополнительные опции:

  • WildCard — подтверждает домен и все его поддомены следующего уровня;
  • SAN — подтверждает домены по списку, указанному при получении SSL-сертификата.

 

Как работает SSL-сертификат

Данные между браузером посетителя и веб-сайтом проходят множество серверов и каналов связи. Чтобы эти данные не попали в чужие руки, они шифруются. Для этого каждой стороной применяется по паре цифровых ключей — длинных последовательностей символов. Один из них является открытым (публичным), а другой — секретным (частным). Внутри каждой пары ключи математически связаны между собой, но определить секретный по открытому невозможно. Практически невозможно. Для зашифровывания данных используется открытый, а для расшифровки — секретный.

Чтобы безопасно переслать данные веб-серверу, браузер шифрует их с помощью открытого ключа этого сервера. После получения зашифрованных данных сервер расшифровывает их своим секретным ключом.

При отправке данных браузеру всё происходит в зеркальном порядке. Сервер шифрует данные открытым ключом браузера, а после доставки данных они расшифровываются секретным ключом браузера.

 

Схема

 

Для перехода в защищённый режим обмена данными по протоколу HTTPS нужно, чтобы на веб-сервер была установлена описанная ключевая пара.

 

Зачем нужен сертификат

Получение пары криптографических ключей не является очень сложной задачей. Существует специальное программное обеспечение для их генерации.

Самые известные бесплатные генераторы с открытым исходным кодом — OpenSSL и PuTTY.

Однако, если ключи, полученные таким образом, просто установить на веб-сервер, вместо защиты посетитель сайта получит сообщение о том, что запрошенное соединение может быть небезопасным.

Почему так произойдёт? — Потому что браузер посетителя не будет «уверен» в том, что открытый ключ, полученный от веб-сервера, соответствует указанным веб-адресу (домену) или организации.

 

Not secure

 

Для удостоверения этого ключа нужно, чтобы какая-то третья сторона подтвердила, что он относится к указанному домену или организации.

В качестве такой третьей стороны выступают центры сертификации, которые своей цифровой подписью удостоверяют открытый ключ и его принадлежность.

Список корневых центров сертификации изначально имеется в дистрибутивах основных веб-браузеров.

 

Certificate Manager

 

Изготовить собственный SSL-сертификат можно, и он будет вполне обеспечивать защиту пересылаемых данных. Однако доверие к нему будет ограничиваться только кругом лиц, среди которых вы сможете удостоверить свой SSL-сертификат тем или иным способом. При этом, каждый из посетителей вашего веб-сайта или пользователей системы с веб-интерфейсом должен вручную указать, что он доверяет вашему сертификату.

Использовать собственный SSL-сертификат можно, например, внутри предприятия или иной ограниченной группы пользователей.

 

Как выдаётся сертификат

Получить SSL-сертификат — по крайней мере типа DV — несложно. Владельцу домена достаточно выполнить следующие действия.

  • Сгенерировать криптографическую пару. Её можно получить и на следующем шаге: при формировании CSR-запроса.
  • Сформировать запрос (CSR-файл) на получение SSL-сертификата с приложением своего открытого ключа.
  • Отправить заявку.
  • В ответ на запрос центра сертификации подтвердить свои административные права на веб-сервере, соответствующем указанному домену.
  • Установить полученный в виде файла SSL-сертификат на свой веб-сервер.

При получении сертификатов типа OV или EV, кроме указанных действий, потребуется пройти ряд дополнительных организационных процедур. О них подробно рассказано в нашей статье «Получение OV- и EV-сертификата — Что нужно знать?».

Самыми недорогими являются сертификаты типа DV. Они существенно дешевле сертификатов типа OV и, тем более, EV.

 

Заключение

Разработчики основных веб-браузеров уже несколько лет пропагандируют повсеместное использование SSL-сертификатов, так как это делает интернет безопаснее.

Если сегодня использование SSL-сертификатов является полезным и желательным, через какое-то время оно может стать неизбежным.

Пока веб-браузеры допускают соединения по незащищённому протоколу HTTP, но тенденция такова, что в перспективе будет разрешён только HTTPS.

 

 

P. S. Что ещё прочитать по этой теме: