Що таке SSL-сертифікат і навіщо його купувати?

275

SSL-сертифікат – це посвідчення вашого веб-сайту або організації, видане центром сертифікації. Воно підтверджує, що відвідувач опинився на засвідченому сайті, що належить засвідченій організації, а з’єднання з цим сайтом захищене за протоколом HTTPS.

Типи SSL-сертифікатів:

  1. DV – Domain Validation – підтверджує домен;
  2. OV – Organization Validation – підтверджує організацію і домен;
  3. EV – Extended Validation – підтверджує організацію і домен після поглибленої перевірки.

У цих сертифікатів є додаткові опції:

  1. WildCard – підтверджує домен і всі його піддомени наступного рівня;
  2. SAN – підтверджує домени за списком, зазначеним при отриманні SSL-сертифіката.

Як працює SSL-сертифікат

Дані між браузером відвідувача та веб-сайтом проходять безліч серверів і каналів зв’язку. Щоб ці дані не потрапили в чужі руки, вони шифруються. Для цього кожною стороною застосовується по парі цифрових ключів – довгих послідовностей символів. Один з них є відкритим (публічним), а інший – секретним (приватним). Усередині кожної пари ключі математично пов’язані між собою, але визначити секретний по відкритому неможливо. Практично неможливо. Для зашифровування даних використовується відкритий, а для розшифровки – секретний.

Щоб безпечно переслати дані веб-сервера, браузер шифрує їх за допомогою відкритого ключа цього сервера. Після отримання зашифрованих даних сервер розшифровує їх своїм секретним ключем.

При відправці даних браузеру все відбувається в дзеркальному порядку. Сервер шифрує дані відкритим ключем браузера, а після доставки даних вони розшифровуються секретним ключем браузера.

Для переходу в захищений режим обміну даними по протоколу HTTPS потрібно, щоб на веб-сервер була встановлена описана ключова пара.

Навіщо потрібен сертифікат

Отримання пари криптографічних ключів не є дуже складним завданням. Існує спеціальне програмне забезпечення для їх генерації.

Найвідоміші безкоштовні генератори з відкритим вихідним кодом – OpenSSL і PuTTY.

Однак, якщо ключі, отримані таким чином, просто встановити на веб-сервер, замість захисту відвідувач сайту отримає повідомлення про те, що ви запросили з’єднання, яке може бути небезпечним.

Чому так станеться? – Тому що браузер відвідувача не буде «впевнений» у тому, що відкритий ключ, отриманий від веб-сервера, відповідає зазначеним веб-адресою (домену) або організації.

Для посвідчення цього ключа потрібно, щоб якась третя сторона підтвердила, що він відноситься до зазначеного домену або організації.

В якості такої третьої сторони виступають центри сертифікації, які своїм цифровим підписом засвідчують відкритий ключ і його приналежність. Замовити SSL можна, наприклад, на сервісі Regery.

Виготовити власний SSL-сертифікат можна, і він буде цілком забезпечувати захист даних, що пересилаються. Однак довіра до нього буде обмежуватися тільки колом осіб, серед яких ви зможете засвідчити свій SSL-сертифікат тим чи іншим способом. При цьому, кожен з відвідувачів вашого веб-сайту або користувачів системи з веб-інтерфейсом повинен вручну вказати, що він довіряє вашому сертифікату.

Використовувати власний SSL-сертифікат можна, наприклад, всередині підприємства чи іншої обмеженої групи користувачів.

Як видається сертифікат

Отримати SSL-сертифікат – принаймні типу DV – нескладно. Власнику домену досить виконати наступні дії.

  • Згенерувати криптографічний пару. Її можна отримати і на наступному кроці: при формуванні CSR-запиту.
  • Сформувати запит (CSR-файл) на отримання SSL-сертифіката з додатком свого відкритого ключа.
  • Відправити заявку.
  • У відповідь на запит центру сертифікації підтвердити свої адміністративні права на веб-сервері, відповідному зазначеним домену.
  • Встановити отриманий у вигляді файлу SSL-сертифікат на свій веб-сервер.

При отриманні сертифікатів типу OV або EV, крім зазначених дій, потрібно пройти ряд додаткових організаційних процедур.

Розробники основних веб-браузерів вже кілька років пропагують повсюдне використання SSL-сертифікатів, так як це робить інтернет безпечнішим.

Якщо сьогодні використання SSL-сертифікатів є корисним і бажаним, через якийсь час воно може стати неминучим.

Поки веб-браузери допускають з’єднання по незахищених протоколу HTTP, але тенденція така, що в перспективі буде дозволений тільки HTTPS.

Прокоментуєте?



Передплатіть УЛГ у форматі PDF!

Передплатіть УЛГ у форматі PDF!