¶ О протоколах
SSL (Secure Sockets Layer) и TLS (Transport Layer Security) — это криптографические протоколы, которые используются для защиты данных при их передаче через интернет. Они обеспечивают безопасность связи между двумя компьютерами, гарантируя, что информация не будет перехвачена или подделана.
Основная задача SSL/TLS-протоколов — обеспечение конфиденциальности, целостности и аутентичности передаваемых данных, что достигается путём шифрования данных, их цифровой подписи и аутентификации сервера.
SSL был разработан компанией Netscape в 1995 году. В 1999 году протокол SSL заменили на протокол TLS, который является его преемником. TLS предлагает усиленные меры безопасности и исправляет некоторые уязвимости, присущие старым версиям SSL.
Сайт, где используют SSL/TLS-протокол, отличается тем, что его URL-адрес начинается с «HTTPS», а не «HTTP», что свидетельствует о защищённом соединении.
¶ Handshake или Рукопожатие
Когда пользователь открывает веб-сайт, браузер запрашивает сертификат у сервера, который отправляет копию SSL-сертификата с открытым ключом. Затем браузер проверяет, чтобы название сертификата совпадало с именем веб-сайта.
Также осуществляется проверка срока действия сертификата и наличия корневого сертификата, выданного авторитетным центром сертификации. Если браузер признает сертификат надежным, он создает предварительный секрет (pre-master secret) для сессии, используя открытый ключ и наивысший уровень шифрования, поддерживаемый обеими сторонами.
Сервер расшифровывает предварительный секрет с помощью своего закрытого ключа, подтверждает готовность продолжить связь и создает общий секрет (master secret) с использованием выбранного метода шифрования. Теперь обе стороны применяют симметричный ключ, который действителен только для текущей сессии. После завершения сессии ключ уничтожается, и при следующем посещении сайта процесс рукопожатия начинается заново.
¶ Виды сертификатов
Теперь, когда мы разобрались с тем, что такое протокол SSL/TLS и как происходит соединение на его основе, давайте обсудим виды сертификатов.
- Domain Validation
Сертификаты с проверкой домена (Domain Validation) подходят для некоммерческих сайтов, так как они подтверждают только веб-сервер, обслуживающий конкретный сайт, на который был осуществлен переход. Этот тип сертификата является самым дешевым и популярным, но не гарантирует полной безопасности, так как содержит лишь информацию о зарегистрированном доменном имени.
- Organization Validation
Сертификаты с проверкой организации (Organization Validation) более надежны, поскольку подтверждают также регистрационные данные компании-владельца. Юридическое лицо обязано предоставить эту информацию при покупке сертификата, и удостоверяющий центр может напрямую связаться с компанией для ее подтверждения. Такие сертификаты соответствуют стандартам RFC и содержат информацию о том, кто их выдал, но данные о владельце не отображаются.
- Extended Validation
Сертификаты с расширенной проверкой (Extended Validation) считаются самыми надежными. Зеленый замочек или ярлык в браузере указывает на наличие именно такого сертификата. Они необходимы для веб-сайтов, которые проводят финансовые транзакции и требуют высокого уровня конфиденциальности. Однако многие сайты предпочитают перенаправлять пользователей для совершения платежей на внешние ресурсы с сертификатами расширенной проверки, используя сертификаты OV для защиты остальных данных пользователей.
- Количество доменов
Сертификаты также различаются по количеству доменов, на которые они выданы. Однодоменные сертификаты (Single Certificate) привязываются к одному домену, указанному при покупке. Мультидоменные сертификаты (например, Subject Alternative Name, Unified Communications Certificate, Multi Domain Certificate) действуют для нескольких доменных имен и серверов, которые также определяются при заказе. Однако за добавление дополнительных доменов сверх установленного лимита может потребоваться дополнительная плата.
- WildCard
Существуют также поддоменные сертификаты (типа WildCard), которые охватывают все поддомены указанного доменного имени. В некоторых случаях могут понадобиться сертификаты, которые одновременно включают несколько доменов и поддомены. В таких случаях можно приобрести сертификаты типа Comodo PositiveSSL Multi-Domain Wildcard и Comodo Multi-Domain Wildcard SSL, или использовать обычный мультидоменный сертификат, указав в списке доменов необходимые поддоменные имена.
Получить SSL-сертификат можно и самостоятельно: пара ключей генерируется с помощью любого генератора, например, бесплатного OpenSSL. Такой защищенный канал связи можно использовать для внутренних нужд, например, между устройствами в своей сети или приложениями. Однако для использования на веб-сайте сертификат необходимо приобретать официально, чтобы в цепочке подтверждения сертификатов обязательно присутствовал корневой сертификат. Это позволит избежать сообщений о небезопасном соединении в браузерах и обеспечит пользователям уверенность в безопасности их данных.