SSL-сертифікат – це посвідчення вашого веб-сайту або організації, видане центром сертифікації. Воно підтверджує, що відвідувач опинився на засвідченому сайті, що належить засвідченій організації, а з’єднання з цим сайтом захищене за протоколом HTTPS.
Типи SSL-сертифікатів:
- DV – Domain Validation – підтверджує домен;
- OV – Organization Validation – підтверджує організацію і домен;
- EV – Extended Validation – підтверджує організацію і домен після поглибленої перевірки.
У цих сертифікатів є додаткові опції:
- WildCard – підтверджує домен і всі його піддомени наступного рівня;
- SAN – підтверджує домени за списком, зазначеним при отриманні SSL-сертифіката.
Як працює SSL-сертифікат
Дані між браузером відвідувача та веб-сайтом проходять безліч серверів і каналів зв’язку. Щоб ці дані не потрапили в чужі руки, вони шифруються. Для цього кожною стороною застосовується по парі цифрових ключів – довгих послідовностей символів. Один з них є відкритим (публічним), а інший – секретним (приватним). Усередині кожної пари ключі математично пов’язані між собою, але визначити секретний по відкритому неможливо. Практично неможливо. Для зашифровування даних використовується відкритий, а для розшифровки – секретний.
Щоб безпечно переслати дані веб-сервера, браузер шифрує їх за допомогою відкритого ключа цього сервера. Після отримання зашифрованих даних сервер розшифровує їх своїм секретним ключем.
Ви досі не підписані на телеграм-канал Літгазети? Натисніть, щоб підписатися! Посилання на канал
При відправці даних браузеру все відбувається в дзеркальному порядку. Сервер шифрує дані відкритим ключем браузера, а після доставки даних вони розшифровуються секретним ключем браузера.
Для переходу в захищений режим обміну даними по протоколу HTTPS потрібно, щоб на веб-сервер була встановлена описана ключова пара.
Навіщо потрібен сертифікат
Отримання пари криптографічних ключів не є дуже складним завданням. Існує спеціальне програмне забезпечення для їх генерації.
Найвідоміші безкоштовні генератори з відкритим вихідним кодом – OpenSSL і PuTTY.
Однак, якщо ключі, отримані таким чином, просто встановити на веб-сервер, замість захисту відвідувач сайту отримає повідомлення про те, що ви запросили з’єднання, яке може бути небезпечним.
Чому так станеться? – Тому що браузер відвідувача не буде «впевнений» у тому, що відкритий ключ, отриманий від веб-сервера, відповідає зазначеним веб-адресою (домену) або організації.
Для посвідчення цього ключа потрібно, щоб якась третя сторона підтвердила, що він відноситься до зазначеного домену або організації.
В якості такої третьої сторони виступають центри сертифікації, які своїм цифровим підписом засвідчують відкритий ключ і його приналежність. Замовити SSL можна, наприклад, на сервісі Regery.
Виготовити власний SSL-сертифікат можна, і він буде цілком забезпечувати захист даних, що пересилаються. Однак довіра до нього буде обмежуватися тільки колом осіб, серед яких ви зможете засвідчити свій SSL-сертифікат тим чи іншим способом. При цьому, кожен з відвідувачів вашого веб-сайту або користувачів системи з веб-інтерфейсом повинен вручну вказати, що він довіряє вашому сертифікату.
Використовувати власний SSL-сертифікат можна, наприклад, всередині підприємства чи іншої обмеженої групи користувачів.
Як видається сертифікат
Отримати SSL-сертифікат – принаймні типу DV – нескладно. Власнику домену досить виконати наступні дії.
- Згенерувати криптографічний пару. Її можна отримати і на наступному кроці: при формуванні CSR-запиту.
- Сформувати запит (CSR-файл) на отримання SSL-сертифіката з додатком свого відкритого ключа.
- Відправити заявку.
- У відповідь на запит центру сертифікації підтвердити свої адміністративні права на веб-сервері, відповідному зазначеним домену.
- Встановити отриманий у вигляді файлу SSL-сертифікат на свій веб-сервер.
При отриманні сертифікатів типу OV або EV, крім зазначених дій, потрібно пройти ряд додаткових організаційних процедур.
Розробники основних веб-браузерів вже кілька років пропагують повсюдне використання SSL-сертифікатів, так як це робить інтернет безпечнішим.
Якщо сьогодні використання SSL-сертифікатів є корисним і бажаним, через якийсь час воно може стати неминучим.
Поки веб-браузери допускають з’єднання по незахищених протоколу HTTP, але тенденція така, що в перспективі буде дозволений тільки HTTPS.