Що Таке SSL/TLS?

У епоху, коли деякі з наших найважливіших інформацій та транзакцій існують в онлайні, забезпечення безпеки цифрових взаємодій стало надзвичайно важливим.

У цьому посібнику для початківців (який не боїться заглиблюватися!) ми розкриємо основні системи, що працюють за лаштунками, і про які кожен власник або менеджер вебсайту має знати, аби зберегти конфіденційність користувачів та репутацію свого бізнесу.

Що Таке SSL?

SSL — це скорочення від secure sockets layer. SSL є протоколом для підтримки безпечного з’єднання та захисту конфіденційних даних, щоб забезпечити безпеку користувачів інтернету під час онлайн-транзакцій, процесів входу в систему та багато іншого.

SSL використовується в інших процесах, таких як забезпечення передачі файлів та захисту електронної пошти, але ми найчастіше згадуємо про його вплив на інтернет-безпеку, адже саме там він став найбільш відомим.

Що таке TLS?

Протокол безпеки транспортного рівня (TLS) є наступником SSL, який використовується сьогодні і більш ефективно обробляє вразливості.

Чи SSL Застарілий?

SSL пройшов багато ітерацій з моменту свого введення кілька десятиліть тому, у зусиллях покращити функціональність та безпеку. TLS — це просто більш захищена та сучасна версія SSL.

Фактично, SSL та TLS означають одне й те саме. Однак на момент написання цього тексту, SSL все ще більш широко використовуваний термін для протоколу, тому ви часто бачитимете його вживання — і ми також часто згадуватимемо його у цій статті.

Як Виглядає SSL/TLS?

Коли сертифікат SSL/TLS (більше про них пізніше) є дійсним і оновленим на вебсайті, у адресному рядку ви повинні побачити, що URL починається з «HTTPS» замість «HTTP». Якщо ви не бачите повний URL, ймовірно, він з’явиться, якщо ви клікнете на адресний рядок. Деякі браузери вирішують скоротити його для спрощення.

Ти також маєш бачити маленький зелений значок у вигляді замка — або іноді інші кольори залежно від браузера — перед URL, коли використовується SSL/TLS.

Що Робить SSL/TLS?

SSL/TLS забезпечує безпечне з’єднання між двома системами. Це можуть бути сервер та клієнт (наприклад, торговий веб-сайт та браузер) або два сервери.

SSL/TLS використовує шифрування та криптографічні пари ключів для перевірки ідентичності систем та запобігання передачі даних зловмисникам.

Ці дані включають:

• Фінансові дані, такі як номери кредитних карток, інформація про банківські рахунки тощо.
• Персональні дані — повне ім’я, номер соціального страхування, адреса, дата народження тощо.
• Чутливі юридичні документи
• Приватні медичні записи
• Конфіденційна інформація, така як деталі клієнтів, комерційні таємниці тощо.
• Дані для входу

Як працюють SSL/TLS? SSL Handshake

З усіма підготовчими роботами за плечима, давай перейдемо до суті роботи SSL/TLS!

SSL/TLS працює шляхом шифрування даних під час передачі, щоб запобігти доступу хакерів до них під час їхньої передачі по мережі. Імена, адреси, номери кредитних карток та інші потенційно чутливі дані — серед тих, що SSL/TLS захищає.

Ось базовий огляд того, як це працює:

1. Коли користувач ініціює процес, захищений SSL/TLS, наприклад, покупку на сайті, клієнт (браузер користувача) надсилає вітальний пакет серверу сайту. Цей пакет містить повідомлення про транзакцію, тип TLS, набір шифрів та “клієнтський випадковий” — рядок випадкових байтів.
2. Сервер отримує це повідомлення і відповідає своїм вітальним пакетом, що містить відповідь на повідомлення, його SSL/TLS сертифікат, набір шифрів та “серверний випадковий” — інший набір випадкових байтів.
3. Клієнт проходить процес аутентифікації SSL/TLS сертифікату, що доводить, що сервер є надійною службою, за яку себе видає (тобто не хакером). Потім він надсилає щось, що називається “головний секрет” і є закодованим за допомогою публічного ключа сертифіката SSL/TLS. Ідея полягає в тому, що у сервера має бути приватний ключ, який може розшифрувати це повідомлення.
4. Якщо все йде правильно, сервер має приватний ключ, асоційований з SSL/TLS сертифікатом, і може розшифрувати головний секрет. Після цього сервер створює сеансовий ключ і надсилає інформацію клієнту.
5. Тепер і клієнт, і сервер надсилають один одному засекречене повідомлення “завершено”, що кодується сеансовим ключем. Це вказує на те, що між ними відкрито безпечний сеанс, і будь-які дані, обмінювані під час нього, мають бути захищені.

Ця процедура часто називається SSL-рукостисканням і відбувається за лічені мілісекунди.

Чому SSL/TLS Важливий?

Захист SSL/TLS є необхідним на вебсайтах з багатьох причин:

• Для захисту інформації користувачів
• Для побудови довіри клієнтів до бренду
• Для підтвердження власності на сайт
• Щоб запобігти діяльності зловмисників та програм, які можуть створювати фальшиві версії сайту і викрадати конфіденційну інформацію

Кожного разу, коли вебсайт вимагає входу користувачів, запитує особисту інформацію або надає доступ до приватного вмісту — здатність забезпечити конфіденційність для користувача є вирішальною.

SSL/TLS сприяє конфіденційності онлайн-спілкування та переконує відвідувачів, що веб-сайт надійний та безпечний.

Крім того, основні браузери збираються помічати вебсайти HTTP без сертифікатів SSL/TLS як “небезпечні.” Це ставить величезний знак питання для відвідувачів і може швидко спонукати їх закрити сайт та спробувати інший. На сьогоднішній день вебсайти, які не інвестують у SSL/TLS, ймовірно, ризикують втратити трафік та доходи.

Чи Варто Вимкнути SSL/TLS? Що Станеться, Якщо Я Це Зроблю?

Коротко кажучи, як власнику або адміністратору сайту завжди краще використовувати SSL/TLS, ніж не використовувати.

І це правда, навіть якщо ти не збираєш жодної інформації про користувачів на своєму сайті.

SSL/TLS не тільки критично важливий для безпеки даних, як ми вже багато разів згадували, — він також корисний для захисту вашого веб-сайту від копіювання зловмисниками та для уникнення лякаючого повідомлення “Ваше з’єднання не є приватним”, яке може відлякати багатьох користувачів.

Наприкінці 2023 року близько 85% веб-сайтів використовують SSL/TLS для забезпечення їхнього статусу HTTPS.

Що таке SSL-сертифікат?

Тепер додамо трохи глибини концепції сертифіката SSL/TLS — яку ми відтепер будемо скорочувати до сертифіката SSL — про яку ми говорили раніше.

SSL-сертифікат — це цифровий сертифікат, який видається центром сертифікації (CA). Його завдання — пов’язати ідентичність вебсайту, якому він був виданий, з криптографічною парою ключів — це публічний та приватний ключі, про які ми вже говорили.

Окрім підтримки безпечних транзакцій за допомогою своїх ключів, ці сертифікати також корисні для того, щоб користувачі могли дізнатися про тло вебсайту та його власника, щоб вони могли самостійно визначити його надійність.

Як користувач, ти можеш переглянути деталі сертифіката SSL, натиснувши на іконку замка в адресному рядку. Інформація, яку ти можеш тут побачити, може включати:

• Доменне ім’я, для якого видано сертифікат
• Бізнес або особа, якій видано сертифікат, та орган сертифікації, який його видав
• Цифровий підпис органу сертифікації та публічний ключ
• Коли сертифікат було видано та коли він закінчується

Якщо будь-яка інформація з сертифіката здається підозрілою або не відповідає сайту, який ти відвідуєш, ти знаєш, що потрібно уважніше придивитися перед тим як ділитися будь-якою особистою інформацією.

5 Типів SSL-Сертифікатів

Існує кілька типів SSL-сертифікатів, які мають різні рівні перевірки.

Розширена Перевірка SSL-сертифікату (EV SSL)

Розширені сертифікати SSL з підтвердженням (EV SSL) представляють найвищий рівень та найбільш дорогий вид сертифікації SSL.

Щоб отримати такий рівень безпеки, заявник повинен пройти процес перевірки особистості. Це зазвичай використовується вебсайтами, які проводять транзакції кредитними картками та збирають конфіденційну інформацію. З EV SSL, HTTPS і значок замка відображаються в адресному рядку поряд з сертифікованою назвою та країною бізнесу. Всі ці деталі підтримують довіру до сайту.

Сертифікат SSL з Підтвердженням Організації (OV SSL)

Сертифікати SSL з перевіркою організації (OV SSL) схожі на EV SSL у процесі подачі заявки та інформації, яку вони відображають у рядку адреси, вони просто на крок нижче за рівнем безпеки та вартістю.

OV SSL зазвичай використовуються комерційними або публічними веб-сайтами для демонстрації їхньої прихильності до збереження конфіденційності інформації.

Сертифікат SSL з Перевіркою Домену (DV SSL)

Сертифікати SSL з перевіркою домену (DV SSLs) є менш безпечними та менш ретельними (а також менш дорогими!) сертифікатами, які часто використовуються блогами та іншими інформаційними веб-сайтами, які не збирають дані та не проводять онлайн-платежі.

Зазвичай процес валідації вимагає лише підтвердження власності власниками вебсайтів через електронну пошту або телефон. З цим сертифікатом адресний рядок зазвичай відображає лише HTTPS та іконку замка.

SSL-сертифікат для декількох доменів (MD SSL)

Сертифікати SSL для багатьох доменів (MD SSL) також називають сертифікатами з альтернативними іменами суб’єкта (SAN) та сертифікатами уніфікованих комунікацій (UCC).

Сертифікат MD SSL може захищати кілька доменів верхнього рівня, а також субдомени  — подумайте про en.domain.com, blog.domain.com тощо. Кількість об’єктів, які він може охоплювати, визначається уповноваженим органом, що видає сертифікат.

Кожне майно, яке ти хочеш захистити за допомогою цього сертифікату, має бути визначено на момент його видачі. Щоб додати більше, власник має попросити оновити його та знову виписати від CA. Ця обережність робить його більш безпечним, ніж наступний варіант.

SSL-сертифікат Wildcard

Сертифікати Wildcard SSL забезпечують безпеку одного домену та необмежену кількість піддоменів, що до нього приєднані.

Для вебсайтів з великою кількістю субдоменів це може бути швидким та доступним способом забезпечення автоматичного захисту кожного розділу вашого вебсайту за допомогою шифрування. Недолік полягає в тому, що якщо хоча б один субдомен буде скомпрометовано, інші субдомени під тим же Wildcard сертифікатом також можуть бути скомпрометовані.

Як Отримати SSL-Сертифікат за 7 Кроків

Якщо ти готовий скористатися перевагами безпеки, яку може надати сертифікат SSL, ці базові кроки мають допомогти більшості власників вебсайтів отримати необхідну документацію:

1. Вибери Рівень Покриття SSL

Скільки доменів та субдоменів ти хочеш захистити? Який рівень безпеки тобі потрібен? Використовуй вищезазначений путівник до типів SSL-сертифікатів, щоб визначити, який тип ти шукаєш.

2. Створення запиту на підпис сертифіката

Запит на підпис сертифіката (CSR) — це зашифрований файл, що містить інформацію про бізнес і домен, а також приватні та публічні ключі, які вашому CA знадобляться для створення вашого сертифіката.

Як ти створюєш CSR, залежить від платформи, на якій ти перебуваєш, або від хостингу сайту, яким ти користуєшся. Більшість хостів дозволяють створити CSR через їхню адміністративну панель. Ось як клієнти DreamHost можуть створити CSR.

Якщо ти хочеш спробувати впоратися з цим кроком без допомоги хоста, цей посібник може тобі допомогти визначити конкретні кроки, які потрібно виконати.

3. Придбайте Сертифікат Через Орган Сертифікації

Твій наступний крок — знайти репутаційний Центр Сертифікації, від якого ти можеш придбати свій SSL сертифікат. Існує багато варіантів, включно з:

• letsencrypt.org
• sectigo.com
• verisign.com

Незалежно від обраного провайдера, їх сайт має провести тебе через вибір типу сертифіката SSL, подання твого CSR та завершення покупки.

Клієнти DreamHost можуть отримати SSL-сертифікат — безкоштовний або платний — через панель клієнта. Дивіться як тут.

4. Завершення Перевірки (Якщо Необхідно)

Якщо ти обрав тип сертифіката з високим рівнем безпеки, який вимагає доведення твоєї особистості та/або власності на вебсайт, твій CA надасть тобі інструкції для підтвердження.

5. Встанови Свій Новий SSL Сертифікат

Якщо все йде за планом, ти повинен бути здатним завантажити сертифікати, надані твоїм CA. Тепер прийшов час встановити їх на свій вебсайт.

Це ще один крок, який може значно відрізнятися залежно від платформи твоєї веб-сторінки, твого провайдера хостингу, а також типу сертифіката, на який ти вирішив. Звернись до свого провайдера хостингу або увійди в панель клієнта свого веб-хоста і пошукай щось на кшталт «Налаштування SSL/TLS» або «Менеджер SSL/TLS» та виконай кроки для встановлення файлів, які ти завантажив.

Або, якщо ти волієш зробити це самостійно, DigiCert має інший посібник, який допоможе тобі орієнтуватися на більшості платформ.

Для користувачів WordPress встановлення сертифікації SSL може бути здійснене за допомогою плагіна, такого як Really Simple SSL. Клієнти DreamHost можуть додати сторонній SSL сертифікат, слідуючи цим інструкціям.

Пов’язане: Що таке плагін?

6. Тестування Вашої Установки SSL

Щоб перевірити, чи правильно встановлено ваш сертифікат та чи він функціонує належним чином, знайдіть у Google фразу “SSL checker tool”, щоб знайти платформу, яка проведе для вас швидкий аналіз. CA, який ви використовували, також може мати на своєму сайті SSL перевіряч.

7. Перенаправлення HTTP URL-адрес

Нарешті, ти маєш перенаправити всі HTTP URL на HTTPS URL після встановлення свого сертифікату SSL, щоб переконатися, що користувачі мають доступ лише до найбезпечнішої версії твого веб-сайту.

DreamHost автоматично перенаправляє відвідувачів на HTTPS-версію вашого сайту, як тільки ви додаєте SSL-сертифікат, і інші хостинги можуть робити те саме.

Якщо це не варіант для тебе і тобі потрібно оновити свій сервер вручну, у нас є інструкції для доступу до сервера Apache або Nginx, щоб примусово перенаправити тут.

Для користувачів WordPress, якщо ти використовував плагін для встановлення SSL, він також може мати вбудовані сервіси міграції з HTTP на HTTPS. Якщо ні, Redirection або інший плагін можуть тут значно допомогти.

Дивіться також: Що таке перенаправлення?

Чи Закінчується Термін Дії SSL-Сертифікатів?

Так, термін дії SSL-сертифікатів закінчується.

Згідно з Форумом сертифікаційних органів/браузерів, що регулює всі питання SSL, сертифікати повинні закінчуватися приблизно через 13 місяців. Це рішення було прийнято у відповідь на заяву Apple про те, що вони більше не прийматимуть сертифікати з дворічним терміном дії — що раніше було нормою. Термін дії твого сертифікату залежить від CA, який надав твій SSL.

Сертифікація SSL закінчується через швидкі зміни в інтернеті. Регуляції, які впливають на збір даних, з’являються та зникають, бізнеси та вебсайти змінюють власників, а старі пари ключів стають менш безпечними, оскільки хакери стають досвідченішими. Пересертифікація дає власникам вебсайтів можливість оновити свою безпеку та сертифікаційним органам час переглянути інформацію, прикріплену до сертифіката, щоб переконатися, що все є точним.

Коли термін дії SSL-сертифіката закінчується і вебсайт більше не захищений цим протоколом безпеки, браузер виводить попередження, що повідомляє користувачів про те, що сайт не є безпечним і рекомендує діяти обережно.

Звичайно, термін дії SSL не закінчується несподівано. Центр сертифікації, в якому ти отримав свої документи, надішле повідомлення, коли настане час оновлення. Зазвичай вони починають надсилати повідомлення за 90 днів до закінчення терміну, і ми рекомендуємо тобі почати діяти, як тільки ти їх отримаєш. Також не забудь зареєструватися, щоб ці повідомлення надсилалися на адресу електронної пошти, яку ти завжди перевіряєш і до якої маєш доступ.

Як Оновити Твій SSL Сертифікат

З багатьма постачальниками сертифікатів SSL кроки оновлення вашого сертифіката SSL такі ж, як і при його першому отриманні. Тому тобі потрібно буде згенерувати CSR, купити сертифікат SSL від ЦС, завершити будь-яку необхідну перевірку та встановити та протестувати свій сертифікат.

З огляду на це, багато провайдерів SSL та хостингових компаній починають автоматизувати максимально можливу кількість цих процесів. Тому, можливо, тобі не доведеться проходити через усі ці кроки щоразу — але корисно знати, які саме обслуговування ти міг би мати на своєму столі, коли мова йде про сертифікацію SSL та підтримку на твоєму сайті.

Пов’язане: Як вирішити поширені проблеми з SSL у WordPress 

Обери Веб-хостинг, Який Підтримує Твої Цілі Щодо Безпеки

На щастя, забезпечення онлайн користувацького досвіду та встановлення довіри до вашого бренду за допомогою покриття SSL/TLS є порівняно простим процесом. Однак це не означає, що кожен власник вебсайту захоче або матиме час не тільки знайти найкращий варіант сертифікації SSL, але й встановити його та підтримувати рік за роком.

Якщо ти бажаєш зосередитись на бізнес-аспектах, команда професійних послуг з управління сайтом DreamHost може підтримувати твої цілі щодо безпеки та досвіду, відповідаючи за все від незначних оновлень до відновлення після зламів, міграції посилань та повного управління сайтом та моніторингу.