Что такое SSL-сертификат, зачем он нужен и где его взять

Разбираемся вместе: что такое SSL-сертификат
Разбираемся вместе: что такое SSL-сертификат

Без­опас­ность инфор­ма­ции в Интер­не­те одна из самых серьез­ных тем в наше вре­мя. Как защи­тить свой сайт от утеч­ки инфор­ма­ции и несанк­ци­о­ни­ро­ван­но­го досту­па тре­тьи­ми лица­ми? Что такое SSL-сер­ти­фи­кат и где его взять? Чем HTTPS луч­ше HTTP? Пред­ла­га­ем вам мате­ри­ал, кото­рый направ­лен на людей, не обла­да­ю­щих спе­ци­аль­ны­ми тех­ни­че­ски­ми зна­ни­я­ми и навы­ка­ми.

Протокол SSL

Про­то­кол SSL (от англ. Secure Sockets Layer  уро­вень защи­щен­ных соке­тов) исполь­зу­ет­ся мил­ли­о­на­ми сай­тов для защи­ты дан­ных в Интер­не­те. Он гаран­ти­ру­ет без­опас­ное соеди­не­ние меж­ду бра­у­зе­ром поль­зо­ва­те­ля и сер­ве­ром. При исполь­зо­ва­нии SSL-про­то­ко­ла инфор­ма­ция пере­да­ет­ся в зако­ди­ро­ван­ном виде по HTTPS и рас­шиф­ро­вать ее мож­но толь­ко с помо­щью спе­ци­аль­но­го клю­ча в отли­чие от при­выч­но­го про­то­ко­ла HTTP. Для рабо­ты SSL-про­то­ко­ла тре­бу­ет­ся, что­бы на сер­ве­ре был уста­нов­лен SSL-сер­ти­фи­кат.

SSL-сертификат

SSL-сер­ти­фи­кат  это сво­е­го рода уни­каль­ная циф­ро­вая под­пись ваше­го сай­та. Такой сер­ти­фи­кат нужен, в первую оче­редь, бан­кам, пла­теж­ным систе­мам и дру­гим орга­ни­за­ци­ям, рабо­та­ю­щим с пер­со­наль­ны­ми дан­ны­ми, для защи­ты тран­зак­ций и предот­вра­ще­ния несанк­ци­о­ни­ро­ван­но­го досту­па к инфор­ма­ции.

Так, если вы явля­е­тесь орга­ни­за­ци­ей и хоти­те исполь­зо­вать наш пла­гин для сбо­ра пожерт­во­ва­ний «Онлайн-Лей­ку», то для под­клю­че­ния пла­теж­ной систе­мы Яндекс.Деньги необ­хо­ди­мо исполь­зо­ва­ние SSL-сер­ти­фи­ка­та.

SSL-сер­ти­фи­кат содер­жит сле­ду­ю­щую инфор­ма­цию:
  • домен­ное имя, на кото­рое оформ­лен SSL-сер­ти­фи­кат;
  • юри­ди­че­ское лицо, кото­рое вла­де­ет сер­ти­фи­ка­том;
  • физи­че­ское место­на­хож­де­ние вла­дель­ца сер­ти­фи­ка­та (город, стра­на);
  • срок дей­ствия сер­ти­фи­ка­та;
  • рек­ви­зи­ты ком­па­нии-постав­щи­ка SSL-сер­ти­фи­катa.
SSL-cер­ти­фи­кат под­твер­жда­ет, что домен при­над­ле­жит реаль­ной ком­па­нии и что его вла­де­лец впра­ве поль­зо­вать­ся сек­рет­ным клю­чом на закон­ных осно­ва­ни­ях.

Разница между HTTP и HTTPS

HTTPS (HyperText Transfer Protocol Secure)  это рас­ши­ре­ние про­то­ко­ла HTTP, под­дер­жи­ва­ю­щее шиф­ро­ва­ние. Дан­ные, пере­да­ва­е­мые по про­то­ко­лу HTTP, «упа­ко­вы­ва­ют­ся» в крип­то­гра­фи­че­ский про­то­кол SSL или TLS. По умол­ча­нию HTTPS исполь­зу­ет 443 TCP-порт (для неза­щи­щен­но­го HTTP  80).

Что­бы под­го­то­вить веб-сер­вер для обра­бот­ки HTTPS-соеди­не­ний, адми­ни­стра­тор дол­жен полу­чить и уста­но­вить в систе­му сер­ти­фи­кат для это­го веб-сер­ве­ра. Сер­ти­фи­кат состо­ит из двух частей (двух клю­чей)  public и private. Public-часть сер­ти­фи­ка­та исполь­зу­ет­ся для шиф­ро­ва­ния тра­фи­ка от кли­ен­та к сер­ве­ру в защи­щен­ном соеди­не­нии; private-часть  для рас­шиф­ро­вы­ва­ния полу­чен­но­го от кли­ен­та зашиф­ро­ван­но­го тра­фи­ка на сер­ве­ре.

После того как пара клю­чей приватный/публичный сге­не­ри­ро­ва­ны, на осно­ве пуб­лич­но­го клю­ча фор­ми­ру­ет­ся запрос на SSL-сер­ти­фи­кат в Центр сер­ти­фи­ка­ции.

Суще­ству­ет воз­мож­ность создать такой сер­ти­фи­кат, не обра­ща­ясь в Центр сер­ти­фи­ка­ции. Под­пи­сы­ва­ют­ся такие сер­ти­фи­ка­ты этим же сер­ти­фи­ка­том и назы­ва­ют­ся само­под­пи­сан­ны­ми (self-signed).

Разновидности SSL-сертификатов

Суще­ству­ет несколь­ко типов SSL-сер­ти­фи­ка­тов:

SSL-сер­ти­фи­ка­ты с про­вер­кой доме­на (Domain Validation) это сер­ти­фи­ка­ты началь­но­го уров­ня, явля­ют­ся самы­ми рас­про­стра­нен­ны­ми в мире, а ско­рость выда­чи таких сер­ти­фи­ка­тов варьи­ру­ет­ся от 2 до 10 минут, зави­сит от брен­да. Что­бы полу­чить такой сер­ти­фи­кат, не тре­бу­ет­ся спе­ци­аль­ных доку­мен­тов. Такие сер­ти­фи­ка­ты подой­дут для неболь­ших сай­тов и малень­ких про­ек­тов, когда нет необ­хо­ди­мо­сти в боль­шом дове­рии со сто­ро­ны кли­ен­тов и посе­ти­те­лей сай­та. Нуж­но под­твер­дить вла­де­ние доме­ном:
  • про­вер­ка через элек­трон­ную почту (DCV Email) центр сер­ти­фи­ка­ции высы­ла­ет вери­фи­ка­ци­он­ное пись­мо, в кото­ром будет ссыл­ка для под­твер­жде­ния вла­де­ни­ем доме­на. Выслать такое пись­мо могут либо на почту, ука­зан­ную во Whois ваше­го доме­на, либо на один из золо­той пятер­ки: [email protected], [email protected], [email protected], [email protected],[email protected] ваше­го сай­та;
  • про­вер­ка при помо­щи DNS-запи­си (DNS CNAME) спо­соб для тех, у кого настро­ен мейл-сер­вер, а поч­та во Whois закры­та при­ват­ной реги­стра­ци­ей. Необ­хо­ди­мо создать осо­бую запись в вашем DNS, и центр сер­ти­фи­ка­ции его про­ве­рит. Метод пол­но­стью авто­ма­ти­че­ский;
  • про­вер­ка при помо­щи хеш-фай­ла (HTTP CSR Hash) поль­зо­ва­те­лю будет предо­став­лен спе­ци­аль­ный .txt файл, кото­рый необ­хо­ди­мо загру­зить на свой сер­вер, при этом центр сер­ти­фи­ка­ции убе­дит­ся в его нали­чии и сер­ти­фи­кат будет выдан. Метод пол­но­стью авто­ма­ти­че­ский.
SSL-сер­ти­фи­ка­ты с про­вер­кой ком­па­нии (Business Validation) такие сер­ти­фи­ка­ты акту­аль­ны для тех, кто дума­ет о дове­рии к сво­им про­дук­там, ком­па­нии и сер­ви­сам, так как центр сер­ти­фи­ка­ции про­во­дит более тща­тель­ную про­вер­ку. Необ­хо­ди­мо выслать доку­мен­ты ком­па­нии, прой­ти про­цесс «отзво­на» на кор­по­ра­тив­ный теле­фон. SSL-сер­ти­фи­ка­ты с рас­ши­рен­ной про­вер­кой (Extended validation) толь­ко EV сер­ти­фи­ка­ты обес­пе­чат сайт зеле­ной адрес­ной стро­кой в бра­у­зе­ре. Чаще все­го такие сер­ти­фи­ка­ты мож­но встре­тить у бан­ков, онлайн-систем с боль­шим коли­че­ством посе­ти­те­лей. SSL-сер­ти­фи­ка­ты c под­держ­кой суб­до­ме­нов (Wildcard) это очень удоб­ный сер­ти­фи­кат, когда речь идет о защи­те боль­шо­го коли­че­ства суб­до­ме­нов в рам­ках одно­го доме­на. Он может защи­тить любое коли­че­ство суб­до­ме­нов на неогра­ни­чен­ном коли­че­стве сер­ве­ров. SAN SSL-сер­ти­фи­ка­ты еди­ные сер­ти­фи­ка­ты свя­зи, кото­рые спо­соб­ны защи­щать мно­же­ство доме­нов, суб­до­ме­нов, локаль­ных доме­нов и сер­ве­ров. Дан­ные сер­ти­фи­ка­ты рабо­та­ют как с внеш­ни­ми, так и внут­рен­ни­ми домен­ны­ми име­на­ми. SGC SSL-сер­ти­фи­ка­ты уста­ре­ва­ю­щие сер­ти­фи­ка­ты, кото­рые при­ну­ди­тель­но уве­ли­чи­ва­ют уро­вень шиф­ро­ва­ния для ста­рых бра­у­зе­ров с 40 бит до пол­но­цен­ных 256 бит. SSL-cер­ти­фи­ка­ты для ПО (CodeSigning SSL) такие сер­ти­фи­ка­ты могут помочь, когда ваши поль­зо­ва­те­ли полу­ча­ют пре­ду­пре­жде­ния и ошиб­ки при ска­чи­ва­нии про­грамм­но­го кода с ваших ресур­сов. Это иде­аль­ный про­дукт для раз­ра­бот­чи­ков про­грамм­но­го обес­пе­че­ния, он исполь­зу­ет­ся для защи­ты про­грамм­ных про­дук­тов рас­про­стра­ня­е­мых в сети.

Где получить SSL-сертификат

Для полу­че­ния сер­ти­фи­ка­та необ­хо­ди­мо обра­тить­ся в ком­па­нии, кото­рые выда­ют SSL-сер­ти­фи­ка­ты. Напри­мер, в RU-CENTER круп­ней­ший реги­стра­тор доме­нов и один из веду­щих хостинг-про­вай­де­ров в Рос­сии. Сто­и­мость SSL-сер­ти­фи­ка­та на 1 год может состав­лять от 2600 до 5000 руб­лей. Часто SSL-сер­ти­фи­кат может вхо­дить в сто­и­мость хостин­га сай­та.

Мы так­же писа­ли про бес­плат­ный SSL для любо­го сай­та от Cloudflare - воз­мож­но, имен­но такой вари­ант подой­дет для ваше­го сай­та.