Что такое SSL сертификат и зачем он нужен [для новичков]

Постараюсь просто объяснить суть работы SSL серфтификатов и зачем они нужны. С 2014 года Google включил https протокол в свой список факторов влияющих на ранжирование сайта, тем самым стимулировав переход многих сайтов с протокола http на защищенный https. И с того времени вебмастера стали переводить свои сайты на безопасный протокол. Рядовым пользователям владеющим сайтами по типу визиткок это дает не так много, если не сказать ничего. Тем не менее это положительно повлияет на безопасность сайтов в целом в интернете.

SSL нужно использовать при любом использовании персональных данных, даже когда у вас на сайте используется просто форма для подписки на новости и тем более, если сайт имеет отношение к каким либо финансовым делам. Ибо хранение и обработка персональным данных подпадает под федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных». И лучше, если эти данные будут защищены безопасным протоколом передачи данных, т.е. сайт будет доступен только по HTTPS протоколу.

По проcтому об HTTPS и SSL

Раньше большая часть сайтов работала на простом незащищенном протоколе HTTP, вы могли видеть, что в строке браузера сначала идет HTTP://site.ru. Это обычный протокол передачи данных, в нем нету никакого шифрования и злоумышленники могу перехватить данные и без проблем использовать их в своих целях.

Представьте себе разговор двух человек, которые просто общаются и к ним подходит третий человек и подслушивает о чем они разговаривают. Точно та же ваши данные может перехватить и легко прочитать любой посредник, будь-то злоумышленник получивший доступ к вашей wi-fi сети или провайдер вашего интернета и т.п.

SSL пример перехвата данных

Для того, чтобы этого не происходило нужно использовать защищенный проток HTTPS. Этот протокол не является сам по себе отельным, это все тот же HTTP, только с использованием криптографического протокола SSL/TLS, который шифрует данные. Если вернуться к нашему примеру выше, то поучится, что два человека все так же общаются при помощи слов, только используя язык понятный только им, который никто в мире кроме них не понимает. Т.е. SSL/TLS шифрует трафик в сети, тем самым обезопашивает соединение.

Работа https протокола, данные шифруются при помощи криптографии

Как работает SSL/TLS

SSL/TLS это два криптографических протокола. TLS это более новый протокол основанный на SSL, т.е. он более защищен и имеет меньше возможных уязвимостей. Какой защищенный протокол будет использоваться зависит от настроек сервера сайта, но скорее всего это будет более новый TLS, просто так сложилось, что говоря о защищенном соединении люди упоминают SSL протокол, но для обычного пользователя/владельца сайта это не будет иметь значение.

Установка защищенного соединения происходит следующим образом:

  1. Клиент посылает запрос на установку защищенного соединения и передает список алгоритмов шифрования, который он знает. После чего сервер выбирает самый надежный и сообщает об этом клиенту.
  2. Далее сервер пересылает SSL сертификат подписанный центром сертификации и свой открытый ключ.
  3. Клиент проверяет сертификат и его валидность. Далее клиент генерирует ключ из случайного набора цифр и шифрует это открытым ключом сервера, после пересылая его обратно серверу.
  4. Сервер расшифровывает полученный ключ своим приватным ключом.
  5. Устанавливается защищенное соединение.

Пример работы защищенного протокола SSL

SSL сертификаты, какие бывают и где получить

Во-первых можно создавать свои самоподписанные сертификаты, но я опущу данный вид сертификатов, т.к. я надеюсь вы понимаете, что такие сертификаты нам не подходят и браузер будет выдавать предупреждения.

Поэтому, если вы решились перевести сайт на безопасный протокол HTTPS, то за приобретением SSL сертификата нужно обратится в центр сертификации, т.е. к гаранту, который выдаст нам сертификат на наш сайт и подтвердит это. Центров сертификации не так много. Наиболее популярные это: Comodo, GoDaddy, Thawte и Let’s Encrypt, существуют и другие, а так же различные другие партнеры этих центров сертификации. Разбираться где приобретать сертификат нету особого смысла, т.к. это крупные компании и различаться будет только цена и то незначительно.

Существует несколько видов SSL сертифкатов:

  • Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV).
  • Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV).
  • Сертификаты, с расширенной проверкой (Extendet Validation — EV).

OV и EV предназначены для организаций, плюс ко всему выдаются не так быстро и проводится проверка вашей организации. А вот обычный сертификат, который проверяет только ваш домен получить можно легко и быстро. Так же сертификаты типа Domain Validation достаточно для любого простого сайта, стоят не дорого, защищают так же, как и более дорогие. Так же при покупке стоит обратить внимание нужны ли вам поддомены на вашем сайте, т.к. не все сертификаты поддерживают поддомены.

Итого

Попробуй собрать и кратно изложить весь сумбур данной статьи.

Есть обычный HTTP протокол, а есть HTTPS, который защищен при помощи криптографии.
Чтобы удостовериться, что вы это вы существуют ssl сертифкаты, которые приобретаются у центров сертификации (CA) и служат неким гарантом. Так же корневые сертификаты всех популярных центров сертификации установлены в браузеры, поэтому сертификаты выданные ими будут распознаваться как подлинные. В итоге вы обращаетесь к сайту, происходит «рукопожатие» и создается шифрованное соединение между вами и сайтом, поэтому злоумышленники не смогут перехватить и распознать данные.
Надеюсь эта статья разъяснила вам, что такое SSL сертификаты, если остались вопросы или вы видите ошибки в статье, то пишите в комментарии, разберемся/исправим.

Добавить комментарий

Ваш e-mail не будет опубликован.