Сертификаты безопасности — что это и зачем
SSL расшифровывается как Secure Sockets Layer — это протокол шифрования и аутентификации данных, которые передаются между приложениями, например, браузером и веб-сервером.
SSL-протокол не дает злоумышленникам читать и изменять транзакции и сообщения между браузером и сервером, например, передачу данных кредитных карт, логинов и т.п. Это гарантия, что все данные останутся конфиденциальными и защищенными.
На самом деле непосредственно стандарт SSL уже мало где используется, ему на смену пришел стандарт TSL, который считается более совершенным. Но на практике все сертификаты подобного типа называют SSL, как словом «памперс» в обиходе называют подгузники всех брендов, не только Pampers.
Как работает SSL
При подключении браузера к сайту происходит «SSL-рукопожатие» (создаются ключи «рукопожатия»), затем происходит обмен криптографическими данными и в конце формируются сессионные ключи, на основе которых происходит шифрование трафика.
Операционная система компьютера хранит список корневых сертификатов, составляющих единую цепочку доверия. При открытии сайта браузер проверяет всю цепочку, вплоть до корневого. Если хоть один из сертификатов оказывается недействительным, то и вся цепочка признается недействительной.
Визуально сайт с установленным SSL отличить довольно просто. В адресе сайта с сертификатом будет написано HTTPS, без сертификата — HTTP. Кроме того, большинство браузеров (Google Chrome, IE, Firefox, Opera и т. п) помечают безопасные сайты (то есть сайты с сертификатом SSL) знаком замка, как видно на скриншоте officelife.media.
При попытке загрузить сайт без сертификата пользователю придет уведомление, что он собирается перейти на небезопасный сайт или его подключение становится небезопасным и возможно хищение персональных данных, самые ценные из которых — данные банковской карточки и пароли.
Если ваш сайт не защищен сертификатом SSL, то он автоматически получает от Google отметку «небезопасно», лишается виртуального замка и пользователи получают предостережения. Наличие сертификата помогает контенту и сайту занимать высокие позиции в результате выдачи. Но основная цель — безопасность соединения.
SSL-сертификаты стоят дорого
Это происходит потому, что SSL-сертификаты считаются своего рода страховкой. Дорог не столько сам сертификат, сколько прилагаемые к нему гарантии. Если что-то пойдет не так, то поставщик сертификатов SSL обязан выплатить конечному пользователю, пострадавшему от сбоя SSL, страховую сумму.
Доступны и бесплатные сертификаты, но они имеют самый низкий уровень безопасности (DV), на него, вероятно, не будет гарантии. Такие сертификаты ограниченно безопасны.
Обычно SSL-сертификаты предоставляют поставщики услуг хостинга. Их также можно приобрести и самостоятельно в Центре сертификации или у реселлера, имеющего скидки, что будет дешевле.
В международной системе сертификации наиболее ценны сертификаты от компаний, имеющих статус Центра сертификации (Certificate Authority, CA). CA проверяет домены и источники, подтверждающие подлинность организаций. Центрам сертификации доверяет 99% браузеров.
«Срок жизни» сертификата ограничен
Коммерческий сертификат действует один год. К этому пришли не сразу. Начиная с 2011 года срок действия сертификатов сначала сократился до 10 лет, потом до трех, потом до двух лет. Бесплатные сертификаты действуют 90 дней.
Сокращение «срока жизни» сертификата до одного года связано с тем, что стандарты безопасности регулярно изменяются и старые сертификаты должны обновляться. Кроме того, ограниченный жизненный цикл сертификата уменьшает риски, связанные с возможными потерями закрытого ключа.
Приобретенные сертификаты устанавливаются на сайт самостоятельно. Наличие сертификата SSL / TLS помогает защитить данные, передаваемые между посетителем и сайтом и наоборот. Однако за защищенность информации на сервере отвечает его администратор, который самостоятельно принимает решение, как ее сохранить, например, вероятно, ему стоит зашифровать базу данных.
Что на практике означает решение DigiCert
Американская технологическая компания DigiCert, специализирующаяся на цифровой безопасности, имеет штаб-квартиру в городе Лехи, штат Юта, и международные офисы в Австралии, Ирландии, Японии, Индии, Южной Африке, Швейцарии и Великобритании.
В качестве центра сертификации (CA) и доверенной третьей стороны DigiCert предоставляет инфраструктуру открытых ключей (PKI) и проверку, необходимую для выдачи цифровых сертификатов или сертификатов TLS / SSL.
Эти сертификаты используются для проверки и аутентификации организаций и доменов, а также для защиты конфиденциальности и целостности данных при цифровом взаимодействии пользователей с веб-браузерами, почтовыми клиентами, документами, программным обеспечением, приложениями, сетями и подключенными IoT-устройствами.
По данным независимой исследовательской компании Netcraft, «DigiCert — крупнейший в мире центр сертификации с высокой степенью надежности, контролирующий 60% рынка сертификатов расширенной проверки и 96% подтвержденных организацией сертификатов во всем мире».
Помимо DigiCert, существует довольно много вендоров сертификатов, среди которых самыми известными являются COMODO, SESTIGO, GeoTrust, RapidSSL, thawte. Решение DigiCert касается только выпуска сертификатов на новый срок, и его последствия станут заметны, как только срок действия используемых сейчас сертификатов закончится.
Вероятно, владельцы сайтов будут приобретать сертификаты у других вендоров. Однако весьма велика вероятность того, что примеру лидера рынка последуют и другие его игроки. И тогда Рунет и Байнет автоматически превратятся в зону небезопасного интернета, закрытого для большинства цивилизованных пользователей.