Что Такое SSL/TLS?

В эпоху, когда некоторые из наших самых важных сведений и транзакций существуют в интернете, обеспечение безопасности цифровых взаимодействий стало чрезвычайно важным.

В этом руководстве для начинающих (которое не боится углубляться!) мы развеем тайны основных систем, работающих за кулисами и которые каждому владельцу или управляющему сайтом необходимо знать для сохранения конфиденциальности пользователей и репутации своего бизнеса.

Что такое SSL?

SSL означает слой защищённых сокетов. SSL — это протокол для поддержания безопасного соединения и защиты конфиденциальных данных, чтобы обеспечить безопасность пользователей интернета во время онлайн-транзакций, процессов входа в систему и других операций.

SSL используется и в других процессах, таких как защита передачи файлов и защита приложений электронной почты, но мы чаще всего будем говорить о том, как это влияет на безопасность в интернете, поскольку именно там это наиболее известно.

Что такое TLS?

Транспортный уровень безопасности (TLS) является преемником SSL, который используется сегодня и более эффективно устраняет уязвимости.

Устарел ли SSL?

SSL прошел множество итераций с момента своего введения десятилетия назад в попытке улучшить функциональность и безопасность. TLS — это всего лишь более защищенная и более современная версия SSL.

По сути, SSL и TLS обозначают одно и то же. Однако на момент написания этой статьи, SSL всё ещё чаще используемый термин для протокола, поэтому вы часто будете видеть его упоминание — и мы также будем часто упоминать его в этой статье.

Как выглядит SSL/TLS?

Когда сертификат SSL/TLS (подробнее об этом позже) установлен и актуален на сайте, в адресной строке URL должен начинаться с «HTTPS» вместо «HTTP». Если ты не видишь полный URL, он скорее всего появится, если кликнуть на адресную строку. Некоторые браузеры могут его укоротить для упрощения.

Ты также должен видеть маленький зеленый значок замка — или иногда другие цвета, в зависимости от браузера — перед URL, когда используется SSL/TLS.

Что делает SSL/TLS?

SSL/TLS обеспечивает безопасное соединение между двумя системами. Это могут быть сервер и клиент (например, сайт для покупок и браузер) или два сервера.

SSL/TLS использует шифрование и криптографические пары ключей для проверки личности систем и предотвращения передачи данных злоумышленникам.

Эти данные включают:

• Финансовые данные, такие как номера кредитных карт, информация о банковских счетах и т.д.
• Персональные данные — полное имя, номер социального страхования, адрес, дата рождения и т.д.
• Конфиденциальные юридические документы
• Личные медицинские записи
• Конфиденциальная информация, такая как данные клиентов, коммерческие тайны и т.д.
• Данные для входа в систему

Как работает SSL/TLS? Передача SSL

Теперь, когда все подготовительные работы выполнены, давайте перейдём к сути работы SSL/TLS!

SSL/TLS работает путём шифрования данных во время передачи, чтобы предотвратить доступ хакеров к ним, когда они передаются по сети. Имена, адреса, номера кредитных карт и другая потенциально чувствительная информация — вот что защищает SSL/TLS.

Вот краткое описание того, как это работает:

1. Когда пользователь инициирует процесс, защищённый SSL/TLS, например, покупку на сайте, клиент (браузер пользователя) отправляет серверу сайта приветственный пакет. Этот пакет содержит сообщение о транзакции, тип TLS, набор шифров и «client random» — строку случайных байтов.
2. Сервер получает это сообщение и отвечает своим приветственным пакетом, содержащим ответ на сообщение, сертификат SSL/TLS, набор шифров и «server random» — ещё одну выборку случайных байтов.
3. Клиент проходит процесс аутентификации сертификата SSL/TLS, который подтверждает, что сервер является надёжной службой, за которую он себя выдаёт (то есть, не хакером). Затем он отправляет так называемый «premaster secret», закодированный публичным ключом сертификата SSL/TLS. Идея заключается в том, что у сервера должен быть приватный ключ, который может расшифровать это сообщение.
4. Если всё идёт правильно, у сервера действительно есть приватный ключ, связанный с сертификатом SSL/TLS, и он может расшифровать premaster secret. После этого сервер создаёт ключ сессии и отправляет информацию клиенту.
5. Теперь и клиент, и сервер отправляют друг другу закодированное ключом сессии сообщение «finished». Это указывает на то, что между ними открыта защищённая сессия, и любые данные, обмениваемые в её рамках, должны быть в безопасности.

Этот процесс часто называется SSL-рукопожатием и происходит всего за несколько миллисекунд.

Почему SSL/TLS важен?

SSL/TLS защита необходима на сайтах по многим причинам:

• Для защиты информации пользователей
• Для укрепления доверия клиентов к бренду
• Для подтверждения владения сайтом
• Для предотвращения создания ложной версии сайта злоумышленниками и программами, которые крадут конфиденциальную информацию

Когда сайт требует, чтобы пользователи входили в систему, запрашивает личные данные или предоставляет доступ к приватному контенту — способность обеспечивать конфиденциальность для пользователя имеет решающее значение.

SSL/TLS способствует конфиденциальности онлайн-коммуникаций и уверяет посетителей в надежности и безопасности веб-сайта.

Кроме того, основные браузеры собираются маркировать HTTP-сайты без сертификатов SSL/TLS как «небезопасные». Это поднимает большой красный флаг для посетителей и может быстро заставить их закрыть страницу и попробовать другой сайт. Сегодня сайты, которые не инвестируют в SSL/TLS, вероятно, рискуют потерять трафик и доходы.

Стоит ли выключать SSL/TLS? Что произойдёт, если я это сделаю?

Коротко говоря, как владелец или администратор сайта, всегда лучше использовать SSL/TLS, чем не использовать.

И это верно, даже если ты не собираешь никакой информации о пользователях на своём сайте.

Не только SSL/TLS критически важен для безопасности данных, как мы уже много раз упоминали — он также помогает защитить ваш сайт от копирования злоумышленниками и избежать пугающего сообщения «Ваше соединение не является частным», которое может отпугнуть многих пользователей.

В конце 2023 года около 85% веб-сайтов используют SSL/TLS для обеспечения их статуса HTTPS.

Что такое сертификат SSL?

Теперь добавим немного глубины в концепцию сертификата SSL/TLS — с этого момента мы будем сокращать его до сертификата SSL — о которой мы упоминали ранее.

SSL-сертификат — это цифровой сертификат, выданный сертификационным центром (CA). Его задача — связать идентичность веб-сайта, которому он был выдан, с криптографической парой ключей — это те самые публичные и приватные ключи, о которых мы уже говорили.

Помимо поддержки безопасных транзакций с помощью своих ключей, эти сертификаты также помогают пользователям узнавать информацию о сайте и его владельце, что позволяет им самостоятельно оценить его надежность.

Как пользователь, ты можешь проверить детали SSL-сертификата, кликнув на иконку замка в адресной строке. Информация, которую ты можешь здесь увидеть, может включать:

• Имя домена, для которого выдан сертификат
• Компания или человек, которому выдан сертификат, и учреждение, выдавшее сертификат
• Цифровая подпись учреждения, выдавшего сертификат, и открытый ключ
• Когда сертификат был выдан и срок его действия

Если какие-либо данные из сертификата кажутся подозрительными или не соответствуют сайту, который ты посещаешь, тебе следует внимательнее изучить его, прежде чем делиться личной информацией.

5 Типов SSL-Сертификатов

Существует несколько типов SSL-сертификатов с различным уровнем проверки.

Сертификат SSL с Расширенной Валидацией (EV SSL)

Расширенные сертификаты SSL с проверкой подлинности (EV SSL) представляют собой высший уровень и самую дорогую форму сертификации SSL.

Чтобы получить этот уровень безопасности, заявителю необходимо пройти процесс проверки личности. Обычно это используется сайтами, которые проводят транзакции с кредитными картами и собирают конфиденциальную информацию. С EV SSL в адресной строке отображаются HTTPS и значок замка, а также имя и страна сертифицированной компании. Все эти детали способствуют повышению доверия к сайту.

Сертификат SSL с Подтверждением Организации (OV SSL)

Сертификаты SSL с проверкой организации (OV SSL) похожи на EV SSL в процессе заявки и информации, которую они отображают в адресной строке, они просто на ступеньку ниже по уровню безопасности и стоимости.

OV SSL обычно используются коммерческими или общедоступными сайтами для демонстрации их приверженности конфиденциальности информации.

Сертификат SSL с Проверкой Домена (DV SSL)

Сертификаты SSL с проверкой домена (DV SSL) являются менее безопасными и менее строгими (а также более дешёвыми!) сертификатами, которые часто используются блогами и другими информационными сайтами, не связанными с сбором данных или онлайн-платежами.

Как правило, процесс проверки требует от владельцев сайтов только подтверждения их владения по электронной почте или телефону. С этим сертификатом в адресной строке обычно отображается только HTTPS и значок замка.

Мультидоменный SSL-сертификат (MD SSL)

Мультидоменные SSL-сертификаты (MD SSL) также называются сертификатами с альтернативным именем субъекта (SAN) и сертификатами унифицированной коммуникации (UCC).

Сертификат SSL MD может защитить несколько доменов верхнего уровня, а также субдомены — например, en.domain.com, blog.domain.com и т. д. Количество элементов, которые он может охватить, определяется уполномоченным органом, выдающим сертификат.

Каждое свойство, которое ты хочешь защитить с помощью этой сертификации, должно быть определено в момент выдачи. Чтобы добавить больше, владелец должен попросить об обновлении и повторной выдаче сертификата удостоверяющим центром. Это предосторожность делает его более безопасным, чем следующий вариант.

Сертификат SSL Wildcard

Wildcard SSL-сертификаты обеспечивают безопасность для одного домена и неограниченного количества поддоменов, привязанных к нему.

Для сайтов с большим количеством субдоменов это может быть быстрым и доступным способом убедиться, что каждая часть вашего сайта автоматически защищена шифрованием. Недостаток заключается в том, что если хотя бы один субдомен будет скомпрометирован, другие субдомены под тем же Wildcard сертификатом также могут быть скомпрометированы.

Как Получить SSL-сертификат за 7 Шагов

Если ты готов воспользоваться преимуществами безопасности, которую может обеспечить SSL-сертификат, эти основные шаги помогут большинству владельцев веб-сайтов получить необходимую документацию:

1. Выбери Уровень Защиты SSL

Сколько доменов и субдоменов ты хочешь защитить? Какой уровень безопасности тебе нужен? Используй приведенное выше руководство по типам SSL-сертификатов, чтобы определить, какой именно ты ищешь.

2. Создание Запроса На Подпись Сертификата

Запрос на подписание сертификата (CSR) — это зашифрованный файл, содержащий информацию о бизнесе и домене, а также приватные и публичные ключи, необходимые вашему сертификационному центру для создания вашего сертификата.

Как создать CSR зависит от того, на какой платформе ты находишься или через какого хостинг-провайдера проходишь. Большинство хостов позволяют создавать CSR через их административную панель. Вот как клиенты DreamHost могут создать CSR.

Если ты предпочитаешь попытаться справиться с этим шагом без помощи хоста, это руководство может помочь тебе найти необходимые шаги, которые нужно выполнить.

3. Приобрети Сертификат У Уполномоченного Центра Сертификации

Твой следующий шаг — найти надежного удостоверяющего центра, чтобы купить у него SSL-сертификат. Есть много вариантов, включая:

• letsencrypt.org
• sectigo.com
• verisign.com

Какого бы провайдера ты ни выбрал, его веб-сайт должен помочь тебе в выборе типа SSL-сертификата, отправке твоего CSR и завершении покупки.

Клиенты DreamHost могут получить сертификат SSL — бесплатный или платный — через панель клиента. Узнай, как это сделать.

4. Завершение Проверки (Если Требуется)

Если ты выбрал тип сертификата с высоким уровнем защиты, который требует подтверждения твоей личности и/или владения веб-сайтом, твой CA предоставит тебе инструкции для подтверждения.

5. Установи свой новый SSL-сертификат

Если всё идёт по плану, ты теперь можешь скачать файлы сертификата, предоставленные твоим CA. Пришло время установить его на свой веб-сайт.

Это еще один шаг, который может сильно различаться в зависимости от платформы вашего сайта, вашего провайдера хостинга и даже типа сертификата, который вы выбрали. Свяжись с твоим провайдером хостинга или войди в панель пользователя твоего веб-хоста и найди что-то, что называется «Настройки SSL/TLS» или «Менеджер SSL/TLS», и следуй инструкциям по установке загруженных файлов.

Или, если предпочитаешь делать это самостоятельно, DigiCert предлагает другое руководство, чтобы помочь тебе ориентироваться по большинству платформ.

Для пользователей WordPress установка SSL-сертификата может быть выполнена с помощью плагина, например Really Simple SSL. Клиенты DreamHost могут добавить SSL-сертификат стороннего производителя, следуя этим инструкциям.

См. также: Что такое Plugin?

6. Проверь Свою Установку SSL

Чтобы убедиться, что ваш сертификат установлен правильно и работает должным образом, введите в Google фразу «SSL checker tool», чтобы найти платформу, которая быстро проанализирует его для тебя. У CA, которую ты использовал, также может быть SSL checker на их веб-сайте.

7. Перенаправление HTTP URL-адресов

Наконец, тебе нужно перенаправить все HTTP URL на HTTPS URL после установки твоего SSL-сертификата, чтобы убедиться, что пользователи получают доступ только к самой защищённой версии твоего сайта.

DreamHost автоматически перенаправляет посетителей на HTTPS-версию вашего сайта после добавления SSL-сертификата, и другие хостинги могут делать то же самое.

Если это не подходит для тебя и тебе нужно обновить сервер вручную, у нас есть инструкции по доступу к серверу Apache или Nginx для принудительного перенаправления здесь.

Для пользователей WordPress, если ты использовал плагин установки SSL, он также может включать в себя сервисы миграции с HTTP на HTTPS. Если нет, Redirection или другой плагин может оказаться здесь большой помощью.

См. также: Что такое перенаправление?

Истекают ли Сертификаты SSL?

Да, срок действия SSL-сертификатов истекает.

Согласно Форуму сертификационных центров и браузеров, который регулирует все, что связано с SSL, сертификаты должны истекать после примерно 13 месяцев. Это решение было принято в ответ на заявление Apple о том, что они больше не будут принимать сертификаты с двухлетним сроком действия — что раньше было нормой. Когда истечет срок действия твоего сертификата, зависит от сертификационного центра, который предоставил твой SSL.

Срок действия SSL-сертификации истекает из-за быстрых изменений в интернете. Правила, влияющие на сбор данных, появляются и исчезают, бизнесы и веб-сайты меняют владельцев, а старые пары ключей становятся менее безопасными по мере того, как хакеры становятся более продвинутыми. Пересертификация дает владельцам веб-сайтов возможность обновить свою безопасность и Удостоверяющим Центрам время для проверки информации, прикрепленной к сертификату, чтобы убедиться в ее точности.

Когда срок действия SSL-сертификата истекает, и веб-сайт больше не защищен этим протоколом безопасности, браузер выдаст предупреждение, информирующее пользователей о том, что сайт не является безопасным, и рекомендующее продолжать с осторожностью.

Конечно, истечение срока действия SSL не происходит внезапно. Центр сертификации, от которого вы получили документы, отправит уведомление, когда придет время их обновить. Обычно это начинается за 90 дней до истечения срока действия, и мы рекомендуем начать действовать, как только вы получите такое уведомление. И не забудьте подписаться на получение этих уведомлений на адрес электронной почты, который вы всегда будете проверять и к которому у вас будет доступ.

Как Обновить Твой SSL Сертификат

У многих поставщиков сертификатов SSL процедура обновления сертификата SSL такая же, как и при первом получении. Поэтому тебе нужно будет сгенерировать CSR, приобрести сертификат SSL у сертификационного центра, пройти необходимую проверку, а затем установить и протестировать сертификат.

Тем не менее, многие поставщики SSL и хостинги сайтов начинают автоматизировать максимально возможное количество этапов этого процесса. Поэтому, возможно, тебе не придется проходить все шаги каждый раз — но полезно знать, какое обслуживание ты мог бы иметь на своем пути при рассмотрении сертификации SSL и поддержки сайта.

См. также: Как исправить распространенные проблемы SSL в WordPress 

Выбери Веб-Хостинг, Который Поддержит Твои Цели По Обеспечению Безопасности

К счастью, обеспечение безопасности пользовательского опыта в интернете и внушение доверия к вашему бренду с помощью SSL/TLS защиты — достаточно доступный процесс. Однако это не означает, что каждый владелец сайта захочет или сможет найти лучший вариант сертификации SSL, установить его и поддерживать год за годом.

Если ты предпочитаешь сосредоточиться на бизнесе, команда профессиональных услуг по управлению сайтом DreamHost может поддержать твои цели в области безопасности и пользовательского опыта, занимаясь всем, от незначительных обновлений до восстановления после взлома, миграции ссылок и полноценного администрирования и мониторинга сайта. управление сайтом