Ssl что это такое. Принципы шифрования сертификатом. Описание протокола SSL Ssl шифрование данных

HTTPS — что за зверь?

Если вы уже сталкивались с созданием собственного сайта, то наверняка краем уха слышали бессвязный набор фраз «сертификат ssl https что это». В статье мы расскажем, что, как и почему. И эти слова перестанут быть для вас пустым звуком.

Невероятно, но факт: любое действие в Интернете — это обмен данными. Когда вы открываете любимый сайт, ищете видеоролик на «YouTube» или загружаете картинку в инстаграм, ваш поисковый браузер и сервер обмениваются информацией. Каждый вбитый в поисковую строку запрос проходит путь от вас (пользователя) к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP . Он был изобретён ещё в начале 90-х. Всем HTTP хорош, кроме одного: не шифрует данные. Следовательно, их без труда может перехватить третья сторона, личная информация (пароль, номер банковской карты, реквизиты, паспортные данные) может быть украдена злоумышленниками.

В современном мире защита данных имеет принципиальное значение. Поэтому внедрили HTTPS, который расшифровывается как протокол безопасного соединения. Принципом работы защищённого протокола HTTPS является обмен ключами шифрования. Прежде чем ответить на запрос от браузера, сервер предъявляет ключ — SSL-сертификат. Браузер проверяет подлинность ключа в Центре сертификации. Если ключ «подошёл», браузер и сервер доверяют друг другу и договариваются о разовом шифре. Так происходит каждую сессию, то есть каждый раз при обмене запросами и ответами. Вот таким хитрым способом и обеспечивается сохранность данных и конфиденциальность при обмене информацией.

Зачем нужен SSL-сертификат?

Чтобы сайт стал работать по протоколу безопасного соединения HТТPS, нужен SSL-сертификат. Это виртуальный документ, который содержит данные об организации, её владельце и подтверждает их существование. SSL позволяет узнать сервер и подтвердить безопасность сайта.

Использование SSL-сертификата гарантирует:

• Подлинность ресурса, к которому обращается пользователь. Это повышает у посетителей уровень доверия.
• Целостность передаваемой информации. При транспортировке от сервера к браузеру данные не изменятся и не потеряются.
• Конфиденциальность . 256-разрядное шифрование исключает доступ злоумышленников к информации.

Что дает SSL-сертификат для сайта кроме защиты данных? Он также помогает в SEO-продвижении проекта — позволяет занять более высокую позицию в поисковой выдаче. Поисковые системы (Google, Яндекс и пр.) дорожат доверием аудитории и выше ранжируют сайты, которые работают через безопасное соединение.

HTTP или HTTPS? Вот в чём вопрос!

Защита сайта протоколом HTTPS уже давно не просто признак хорошего тона, а необходимость. Несмотря на то, что некоторые сайты ещё работают по HTTP-соединению, очень скоро HTTPS станет обязательным требованием «экологии» Интернета.

Решать, конечно, вам. Но имейте в виду, что с июля 2018 года Google считает небезопасным каждый веб-сайт, не использующий протокол HTTPS. Также WordPress и другие популярные CMS заявили, что некоторые функции теперь будут доступны только для веб-сайтов с протоколом HTTPS.

У меня до сих пор HTTP, что делать?

Если ваш сайт обслуживается на хостинге сайт, достаточно заказать SSL-сертификат и перейти с HTTP протокола на HTTPS. Полный цикл:

Готово. Теперь ваш сайт будет работать по HTTPS.

Secure Sockets Layer (SSL) является одним из самых распространенных протоколов безопасности, используемых в Интернете сегодня. Большинство веб-разработчиков слышали этот термин ранее, и знают смысл «значка замка» и «зеленой адресной строки». Сегодня мы обсудим основные моменты в работе SSL и возможные варианты защиты вашего сайта.

Как работает SSL шифрование?

SSL позволяет шифровать данные, как правило, конфиденциальную информацию (например номера кредитных карт), отправляемую браузером пользователя на ваш сервер. Необходимость в шифровании очевидна, поскольку обычно данные передаются в незашифрованном виде с компьютера на компьютер, пока не достигнут конечной цели. С любого компьютера, через который проходит поток информации, можно просмотреть данные. Если хакер сможет прослушивать информацию, которая передается от браузера клиента к серверу, ему не составит труда украсть секретную информацию.

Отправка конфиденциальной информации без использования SSL равносильна тому, если бы вы записали ее на любом клочке бумаги и дали скопировать всем подряд.

Браузер и сервер, устанавливая SSL соединение, используют довольно сложный процесс, называемый «криптография открытого ключа» и много математики. По сути, две части данных используются для создания SSL соединения: открытый ключ и секретный ключ. Все, что шифруется с помощью открытого ключа пользователя, может быть расшифровано только при помощи секретного ключа и наоборот.

Например, если Петя посылает Васе сообщение, зашифрованное с помощью открытого ключа Васи, то только Вася сможет открыть его, используя секретный ключ.

Если Вася посылает сообщение Пети, зашифрованное секретным ключем Пети, то кто угодно может прочитать его, так как любой имеет доступ к Петиному открытому ключу. Так же, если вам удалось открыть сообщение, вы знаете, что именно Петя прислал его, потому что только он имеет доступ к своему секретному ключу.

Поскольку шифрование и дешифрование с помощью открытого и секретного ключа использует много процессинговой энергии, оно используется только при первом создании SSL соединения для получения так называемого симетрического ключа. Симетрический ключ используют далее для шифрования данных веб-страницы.

Это упрощенная схема процесса создания SSL соединения:

Что такое SSL сертификат?

Почти все интернет-программы, включая браузеры, серверы, почтовые и VPN-клиенты и т.д. поддерживают SSL шифрование. Однако они требуют сертификат до того, как SSL становится доступен. Происходит это потому, что сертификат содержит открытый ключ, который идентифицирует сервер. Сертификат так же включает «содержание». Оно содержит личность владельца сертификата (название компании и местонахождение).

Самая важная часть сертификата – цифровая подпись доверительного поставщика. Почему именно так? Любой человек может создать свой сертификат в считанные секунды. Но это так же, как если бы вы самостоятельно сделали себе водительские права, но они ведь не служили бы залогом доверия. Ведь когда вы хотите получить права, вы идете в гос. орган, потому что знаете, что государство не выдаст вам фальшивые права. Ваш браузер имеет список организаций, которые называются Центрами сертификации (СА), в надежности которых вы можете быть уверенны. Это означает, что если один из таких центров сертификации выдаст SSL сертификат вашей организации, сертификату будут доверять все компьютеры мира, так как СА внесен в списки браузеров по умолчанию. Это так же создает огромные трудности хакерам для создания фишинг-сайтов, поскольку СА не будет подтверждать наличие сертификата на таком сайте.

Использование SSL сертификата от доверенного поставщика позволяет пройти проверку, завоевать доверие посетителей и защитить ваш сайт от фишинга.

Когда мне нужно использовать SSL?

Не все коммуникации требуют шифрования, но вы должны всерьез рассмотреть возможность использования SSL в следующих случаях:

• Шифрование необходимо для любых страниц вашего сайта, где передается финансовая информация или данные кредитных карт;
• Шифрование необходимо для любых страниц вашего сайта, где передается другая личная или конфиденциальная информация (например медицинская информация или номер страхового полиса);
• Шифрование необходимо, когда доступен пользовательский вход на сайт;
• Шифрование необзодимо для почтового сервера, чтобы вы могли пересылать важную информацию сохранно.

Разные типы SSL сертификатов

Существует много разновидностей SSL сертификатов.

Domain Validated Certificates

Данные сертификаты выдаются с минимальной проверкой (как правило, автоматически). Вам надо доказать лишь что вы являетесь владельцем домена отвечая на письмо или звонок с использованием информации из Whois. Это делает сертификаты более дешевыми, но менее доверительными для пользователей.

Extended Validation Certificates

EV SSL сертификаты относительно новы, обеспечивают самую высокую степень защиты, потому что перед выпуском данного сертификата проводится детальная проверка. Такие сертификаты дороже других, но они обеспечивают «зеленую адресную строку» в большинстве браузеров.

Wildcard Certificates

Большинство SSL сертификатов будут защищать лишь одно конкретное доменное имя. Например, если ваш сертификат выдан для secure.mydomain.com, а вы попытаетесь использовать его на www.mydomain.com, браузер будет выдавать предупреждение, что имя домена не соответствует имени, прописанному в сертификате. Это необходимо для предотвращения фишинга. Тем не менее, Wildcard сертификат будет защищать все поддомены одного домена. Например, сертификат для *.mydomain.com, будет защищать secure.mydomain.com, www.mydomain.com, mail.mydomain.com и т.д.

SAN Certificates

SAN сертификаты так же позволяют защитить несколько доменных имен, но не неограниченное количество. Каждое имя прописывается в поле сертификата Subject Alternative Name. Имена могут быть внутренними и включать несколько разных доменов.

Code Signing Certificates

Сертификаты отличаются от других SSL сертификатов. Они позволяют подписать приложение чтобы пользователи смогли проверить, что приложение действительно принадлежит организации, которая его выпустила и не является поддельным.

Self Signed Certificates

Самоподписанные сертификаты можно создать бесплатно самостоятельно, но пользователи будет видеть предупреждение, что сертификат не является доверенным.

SSL полностью защищает мой сайт?

Нет. Важно помнить, что использование SSL сертификата является лишь частью обеспечения защиты вашего сайта. Необходимо убедиться, что вы приняли и другие меры для защиты вашего сайта.

Как я могу получить SSL сертификат?

Процесс заказа SSL сертификата выглядит приблизительно так:

• Обновление записей в Whois.
• Создание CSR запроса на вашем сервере.
• Поиск необходимого SSL сертификата и поставщика.
• Передача CSR запроса и другой необходимой информации для проверки вашего домена и организации.
• Установка выданного сертификата.

SSL (Secure Sockets Layer - уровень защищенных сокетов) представляет собой криптографический протокол, который обеспечивает защищенную передачу информации в Интернете.

Чаще всего протокол SSL используется с самым распространенным протоколом передачи гипертекста – http. О наличии защищенного соединения свидетельствует суффикс «s» – протокол будет называться https. Стандартный порт http – 80, а https – 443.

Протокол SSL используется в тех случаях, если нужно обеспечить должный уровень защиты информации, которую пользователь передает серверу. На некоторые сайты, которые работают с электронными деньгами (банки, Интернет-магазины, биржи контента), передаются секретные данные. Кроме пароля, это может быть номер и серия паспорта, номер кредитной карты, пин-код и др. Такая информация предоставляет большой интерес для злоумышленников, поэтому если вы используете для передачи незащищенный протокол http, то ваши данные вполне можно перехватить и использовать в корыстных целях. Для предотвращения перехвата секретных сведений компанией Netscape Communications был создан протокол SSL.

Протокол Secure Sockets Layer позволяет передавать зашифрованную информацию по незасекреченным каналам, обеспечивая надежный обмен между двумя приложениями, работающими удаленно. Протокол состоит из нескольких слоев. Первый слой – это транспортный протокол TCP, обеспечивающий формирование пакета и непосредственную передачу данных по сети. Второй слой – это защитный SSL Record Protocol. При защищенной передаче данных эти два слоя являются обязательными, формируя некое ядро SSL, на которое в дальнейшем накладываются другие слои. Например, это может быть SSL Handshake Protocol, позволяющий устанавливать соответствие между ключами и алгоритмами шифрования. Для усиления защиты передаваемой информации на SSL могут накладываться другие слои.

Для шифрования данных используются криптографические ключи различной степени сложности – 40-, 56- и 128-битные. Показатель количества бит отражает стойкость применяемого шифра, его надежность. Наименее надежными являются 40-битные ключи, так как методом прямого перебора их можно расшифровать в течение 24 часов. В стандартном браузере Internet Explorer по умолчанию используются 40- и 56-битные ключи. Если же информация, передаваемая пользователями, слишком важна, то используется 128-битное шифрование. 128-битные криптографические ключи предусмотрены только для версий, поставляемых в США и Канаду. Для того, чтобы обеспечить надежную защиту, вам следует загрузить дополнительный пакет безопасности - security pack.

Для передачи данных с помощью SSL на сервере необходимо наличие SSL-сертификата, который содержит сведения о владельце ключа, центре сертификации, данные об открытом ключе (назначение, сфера действия и т. д.). Сервер может требовать от пользователя предоставления клиентского сертификата, если это предусматривает используемый способ авторизации пользователя.

При использовании сертификата SSL сервер и клиент обмениваются приветственными сообщениями инициализации, содержащими сведения о версии протокола, идентификаторе сессии, способе шифрования и сжатия. Далее сервер отсылает клиенту сертификат или ключевое сообщение, при необходимости требует клиентский сертификат. После нескольких операций происходит окончательное уточнение алгоритма и ключей, отправка сервером финального сообщения и, наконец, обмен секретными данными. Такой процесс идентификации может занимать немало времени, поэтому при повторном соединении обычно используется идентификатор сессии предыдущего соединения.

Нельзя не отметить независимость протокола от программ и платформ, на которых используется SSL, так как этот протокол работает по принципу переносимости. В приложениях заключается основная угроза безопасности передаваемых данных. Это наличие уязвимостей в браузерах.

Таким образом, в настоящее время протокол SSL получил широкое распространение в сети Интернет, так как он обеспечивает достаточно высокий уровень защиты передаваемой между приложениями информации.

Споры вокруг протоколов HTTPS и сертификатов SSL идут не первый год. Одни утверждают, что для продвижения сайтов нет особой разницы между SSL разных издателей. Другие уверены - чем больше заплатите за сертификат, тем выше будет позиция сайта. Третьи считают, что HTTPS актуален только для магазинов и коммерции. Этот вопрос разбирает Владислава Рыкова, директор маркетингового агентства MAVR . Также она описывает пл юсы и минусы бесплатных, платных и самописных SSL.

Что такое SSL

SSL или Secure Sockets Layer - это стандартная технология, которая используется для обеспечения безопасности и установления зашифрованной связи между браузером и веб-сервером. Это своего рода электронный паспорт сайта, который содержит криптографические ключи и данные о его держателе и издателе. Также он позволяет пользователям шифровать любую личную информацию.

Есть 3 ключа, которые используются для шифрования соединений:

• открытый;
• закрытый;
• сеансовый.

Работает это так: то, что зашифровано с помощью открытого ключа, может быть расшифровано с использованием закрытого ключа и наоборот. Автоматически создается симметричный сеансовый ключ и затем применяется для шифрования данных, передаваемых с сайта после создания безопасного соединения. Всякий раз, когда браузер обращается к защищенному сайту, устанавливается соединение - на это уходит несколько десятых секунды.

Посмотреть SSL можно, кликнув мышью в поисковой строке на замке перед HTTPS.

Что тут важно:

• издатель;
• владелец;
• тип сертификата;
• срок действия.

Остальная информация носит технический характер.

Пару слов о терминологии. В данной статье под SSL я подразумеваю стандарт SSL, который был разработан компанией Netscape, и с января 1999 года IETF стандартизирует его под именем TLS. Как утверждается в TLS-документации, «разница между этим протоколом и SSL 3.0 некритична». SSL и TLS представляют собой постоянно обновляемую серию протоколов, и их часто в обиходе объединяют в общее название SSL/TLS.

HTTP и HTTPS

Для лучшего понимания, что такое SSL и какова разница между его типами, немного коснемся протоколов HTTP и HTTPS. Есть подробные технические описания и гайды, мы их приводить не будем. Для обычного пользователя ситуация выглядит вот так:

Многим владельцам сайтов непонятно, почему Google уже несколько лет досаждает рекомендациями перейти на HTTPS - HyperText Transfer Protocol Secure. Суть в том, что шифрованный протокол позволяет устанавливать относительно безопасное соединение между браузерами и сайтами. HTTPS значительно снижает вероятность взлома коммерческих данных - а значит и воровства ваших средств.

Вот краткое описание из search-консоли:

С середины 2018 года все сайты без HTTPS считаются небезопасными. Об этом сообщает браузер Chrome при каждом заходе на сайт, что видно на иллюстрации выше. SSL - важнейшая часть протокола HTTPS. А он, по сути, все тот же HTTP плюс шифрование и сертификат SSL.

Почему SSL-сертификат - это важно

По утверждению Google, сайты, которые не используют SSL-сертификаты, столкнутся с проблемами. Но главное - его наличие сказывается на доверии пользователей и рейтинге в поисковой системе из-за защиты транзакций. Сертификаты повышают репутацию бренда и служат средством борьбы с фишингом.

С 2014 года, когда Google включил протокол HTTPS в факторы ранжирования, SSL сертификаты стали must-have для любого коммерческого проекта. Так, эксперт Hubspot Сэм Кусиниц написал статью « Окончательное руководство по факторам рейтинга Google в 2019 году ». Среди факторов продвижения, связанных с контентом, соцсетями и ссылками, характеристику «очень важно» получила безопасность домена. А она реализуется благодаря сертификатам SSL в протоколе HTTPS.

Больше года назад ведущий специалист moz.com доктор Питер Мейерс писал о том, что примерно 30% ТОПа выдачи Google - сайты с SSL. Теперь их количество более 80%.

Аналитик предполагает, что для этого есть несколько причин.

1. Google с 2014 года поднимает в выдаче сайты с SSL, потому что они более безопасные. Значение этого параметра среди общих факторов ранжирования увеличивается примерно два раза в году.
2. Само наличие сертификата положительно сказывается на поведенческом факторе. Пользователи не склонны делать интернет-заказы в незащищенных магазинах.
3. Владельцы успешных сайтов видят перспективы в таком «апдейте» и сами модернизируют ресурсы.

Плюсы SSL-сертификатов

В важности SSL-сертификата и работы сайта через HTTPS уже почти никто не сомневается. Но есть еще другой насущный вопрос - какие сертификаты лучше подходят для продвижения сайта и у кого их заказывать?

Виды SSL-сертификатов: плюсы и минусы

Есть три варианта, где можно взять сертификат:

• сделать собственный;
• заказать бесплатный;
• купить платный, коммерческий SSL.

Разберем каждый из видов подробнее.

Самоподписные SSL

Их также называют self-signed и создают в хостинговых сервисах типа Cpanel. Эта возможность есть у каждого владельца сайта. Мы не будем рассматривать технический аспект генерирования - нас интересуют особенности таких SSL.

Плюс

Это быстро и бесплатно.

Минус

Вы, наверное, видели такую картину - это и есть результат использования самоподписного сертификата:

Как это повлияет на поведенческий фактор и впечатление пользователей о ресурсе? Нетрудно догадаться, какое количество посетителей будет у этого сайта. И насколько успешно будут работать любые методы продвижения - например, линкбилдинг, крауд- или контент-маркетинг.

Такие сертификаты можно применять только на внутренних сайтах компаний. И то целесообразнее заказать бесплатные, вместо того, чтобы объяснять каждому сотруднику, как побороть неприязнь браузера к самодельным SSL.

Бесплатные сертификаты

В интернете работает достаточно регистраторов, предоставляющих бесплатные сертификаты. Вот одни из популярных:

• letsencrypt.org
• startssl.com
• buy.wosign.com/free/

Плюсы

1. На этих сайтах несложно получить SSL, и он не будет вызывать браузерную ошибку.
2. Компании, которые предоставляют сертификаты, зарекомендовали себя на рынке. Например, letsencrypt.org - имеет деловые связи с поисковиком Google, соцсетью Facebook и несколькими другими крупными корпорациями.

Минусы

1. Сертификат не подразумевает финансовых гарантий, то есть компенсаций при хакинге.
2. Срок действия всего 90 дней.
3. В letsencrypt и startssl используется технология идентификации SNI, с которой не работают большинство платежных систем. Для коммерции эти сертификаты непригодны.
4. Они подтверждают только то, что существует такое доменное имя. Никакой информации о владельцах не несут и обеспечивают минимальный уровень защиты.

Бесплатные SSL сертификаты подходят для некоммерческих сайтов, блогов, новостных порталов и т. д. И практически полностью бесполезны, если планируете продавать товары или услуги.

Платные сертификаты

Купить SSL несложно, для этого нужно просто связаться с издателем и сделать заказ. Время регистрации составляет от нескольких часов до недели. Есть несколько основных типов платных сертификатов.

1. DV (Domain Validation) SSL - подтверждают только имя домена.
2. OV (Organization Validation) SSL - подтверждающие домен и компанию.
3. EV (Extended Validation ) SSL - самые надежные с «зеленой строкой» и проверкой расширенного типа.
4. Сертификаты для нескольких доменов.

Типы сертификатов подбирают в соответствии с целями и характером сайта. DV - это то, что нужно для небольших сайтов и блогов. OV подойдут для корпоративных ресурсов. EV - это решение для интернет-магазинов. Мультидоменные SSL разработаны для крупных организаций и корпоративных сетей.

Вы сможете подобрать оптимальное решение, набрав в поиске «SSL сертификат Comodo» или подобный запрос. Обратите внимание, иногда выгоднее покупать не напрямую у издателей, а через дилеров и представителей.

Популярные издатели сертификатов:

• Comodo;
• Symantec;
• DigiCert;
• GlobalSign.

Плюсы

В пользу платных сертификатов говорят моменты, которые связаны с вопросами продвижения.

1. Улучшение поведенческого фактора. Согласно недавнему исследованию HubSpot, до 85% пользователей не будут продолжать просмотр, если сайт не является безопасным. В январе 2017 года Google выпустил обновление, которое применяется только к сайтам, собирающим конфиденциальную информацию. Например, пароли или номера кредитных карт. Теперь речь идет о всех сайтах без HTTPS. Уведомление о небезопасности заметно увеличивает количество отказов, особенно если речь идет о финансовых рисках. Чтобы этого избежать, нужно использовать самый надежный сертификат - платный.
2. Оптимизация платежей. На сайтах с бесплатными сертификатами совершать торговые операции сложно, потому что далеко не все системы платежей поддерживают их. Опять же растут отказы и это негативно сказывается на коммерческом SEO-продвижении.
3. Защита. Один из важных моментов - уровень шифрования. Платные сертификаты позволяют обеспечить ключи большей длины и с высокой степенью защиты. Чтобы расшифровать их, потребуются десятки лет. Google анализирует это и повышает сайт в выдаче.
4. Гарантии издателя от взлома сертификатов. Взломают реально или нет - другой вопрос, но если гарантия есть, то это успокаивает. В зависимости от издателя и типа SSL гарантии разнятся, например, взлом QuickSSL оценен в 10 000 у. е., что говорит о надежности компании.
5. Удобство. Не обязательно каждые 90 дней перерегистрировать сертификаты. Платные SSL нужно обновлять раз в год.

Минусы

1. На сертификат все-таки придется потратиться. Стоимость использования зависит от степени защиты и составляет от 20 до 500 у.е.
2. Регистрация дорогих сертификатов, где требуется юридическое подтверждение и документы, может занять немало времени.

Полезные сервисы при работе с SSL/TLS

1. SSL Shopper - этот ssl-чекер поможет понять, правильно ли установлен ssl-сертификат у вас на сайте.
2. SSL Server Test - с помощью этого бесплатного сервиса вы сможете оценить уровень защищенности конфигурации SSL/TLS.

Выводы

SSL - это не только защита посетителей сайта, но и выгодное вложение в развитие. Владельцам новых сайтов лучше заказывать пусть недорогие, но платные сертификаты. Это поможет ресурсу расти в выдаче и снимет вопросы по доверию со стороны поисковика и пользователей.

Но есть и сложности.

1. Сразу после перехода на SSL и HTTPS отмечают временное падение позиций в выдаче.
2. HTTPS более требователен к системе, поэтому может немного снизиться скорость загрузки сайта. Решается оптимизацией кода или увеличением серверных мощностей.
3. Нужно проводить ряд технических работ при переходе, что требует времени и ресурсов.

TLS и SSL упоминаются в последнее время все чаще и чаще, более актуальным становится использование цифровых сертификатов, и даже появились компании, готовые бесплатно предоставлять цифровые сертификаты всем желающим, чтобы гарантировать шифрование трафика между посещаемыми сайтами и браузером клиента. Нужно это, естественно, для безопасности, чтобы никто в сети не мог получить данные, которые передаются от клиента серверу и обратно. Как же это всё работает и как это использовать? Чтобы это понять, надо, пожалуй, начать с теории, а потом показать на практике. Итак, SSL и TLS.

Что такое SSL и что такое TLS?

SSL — Secure Socket Layer, уровень защищенных сокетов. TLS — Transport Layer Security, безопасность транспортного уровня. SSL является более ранней системой, TLS появился позднее и он основан на спецификации SSL 3.0, разработанной компанией Netscape Communications. Тем не менее, задача у этих протоколов одна — обеспечение защищенной передачи данных между двумя компьютерами в сети Интернет. Такую передачу используют для различных сайтов, для электронной почты, для обмена сообщениями и много еще для чего. В принципе, можно передавать любую информацию таким образом, об этом чуть ниже.

Безопасная передача обеспечивается при помощи аутентификации и шифрования передаваемой информации. По сути эти протоколы, TLS и SSL, работают одинаково, принципиальных различий нет. TLS, можно сказать, является преемником SSL, хотя они и могут использоваться одновременно, причем даже на одном и том же сервере. Такая поддержка необходима для того, чтобы обеспечить работу как с новыми клиентами (устройствами и браузерами), так и с устаревшими, которые TLS не поддерживают. Последовательность возникновения этих протоколов выглядит вот так:

SSL 1.0 — никогда не публиковался
SSL 2.0 — февраль 1995 года
SSL 3.0 — 1996 год
TLS 1.0 — январь 1999 года
TLS 1.1 — апрель 2006 года
TLS 1.2 — август 2008 года

Принцип работы SSL и TLS

Принцип работы SSL и TLS, как я уже сказал, один и тот же. Поверх протокола TCP/IP устанавливается зашифрованный канал, внутри которого передаются данные по прикладному протоколу — HTTP, FTP, и так далее. Вот как это можно представить графически:

Прикладной протокол «заворачивается» в TLS/SSL, а тот в свою очередь в TCP/IP. По сути данные по прикладному протоколу передаются по TCP/IP, но они зашифрованы. И расшифровать передаваемые данные может только та машина, которая установила соединения. Для всех остальных, кто получит передаваемые пакеты, эта информация будет бессмысленной, если они не смогут ее расшифровать.

Установка соединения обеспечивается в несколько этапов:

1) Клиент устанавливает соединение с сервером и запрашивает защищенное подключение. Это может обеспечиваться либо установлением соединения на порт, который изначально предназначен для работы с SSL/TLS, например, 443, либо дополнительным запросом клиентом установки защищенного соединения после установки обычного.

2) При установке соединения клиент предоставляет список алгоритмов шифрования, которые он «знает». Сервер сверяет полученный список со списком алгоритмов, которые «знает» сам сервер, и выбирает наиболее надежный алгоритм, после чего сообщает клиенту, какой алгоритм использовать

3) Сервер отправляет клиенту свой цифровой сертификат, подписанный удостоверяющим центром, и открытый ключ сервера.

4) Клиент может связаться с сервером доверенного центра сертификации, который подписал сертификат сервера, и проверить, валиден ли сертификат сервера. Но может и не связываться. В операционной системе обычно уже установлены корневые сертификаты центров сертификации, с которыми сверяют подписи серверных сертификатов, например, браузеры.

5) Генерируется сеансовый ключ для защищенного соединения. Это делается следующим образом:
— Клиент генерирует случайную цифровую последовательность
— Клиент шифрует ее открытым ключом сервера и посылает результат на сервер
— Сервер расшифровывает полученную последовательность при помощи закрытого ключа
Учитывая, что алгоритм шифрования является асимметричным, расшифровать последовательность может только сервер. При использовании асимметричного шифрования используется два ключа — приватный и публичный. Публичным отправляемое сообщение шифруется, а приватным расшифровывается. Расшифровать сообщение, имея публичный, ключ нельзя.

6) Таким образом устанавливается зашифрованное соединение. Данные, передаваемые по нему, шифруются и расшифровываются до тех пор, пока соединение не будет разорвано.

Корневой сертификат

Чуть выше я упомянул корневой сертификат. Это сертификат авторизационного центра, подпись которым подтверждает, что сертификат, который подписан, является именно тем, который принадлежит соответствующему сервису. В самом сертификате обычно содержится ряд информационных полей, в которых содержится информация об имени сервера, которому выдан сертификат, и сроках действия этого сертификата. Если срок действия сертификата истек, он признается недействительным.

Запрос на подпись (CSR, Certificate Sign Request)

Для получения подписанного серверного сертификата необходимо сгенерировать запрос на подпись (CSR, Certificate Sign Request) и отправить этот запрос авторизационному центру, который вернет подписанный сертификат, устанавливаемый непосредственно на сервер, чуть ниже посмотрим, как это сделать на практике. Сначала генерируется ключ для шифрования, затем на основании этого ключа генерируется запрос на подпись, CSR-файл.

Клиентский сертификат

Клиентский сертификат может быть сгенерирован как для использования в устройствах, так и для использования пользователями. Обычно такие сертификаты используются при двусторонней верификации, когда клиент верифицирует, что сервер действительно тот, за кого себя выдает, и сервер в ответ делает то же самое. Такое взаимодействие называется двусторонней аутентификацией или mutual authentication. Двусторонняя аутентификация позволяет повысить уровень безопасности по сравнению с односторонней, а также может служить заменой аутентификации с использованием логина и пароля.

Цепочка действий по генерации сертификатов

Давайте посмотрим на практике, как происходят действия, связанные с генерацией сертификатов, с самого начала, и при этом на практике.

Первое, что делается — это генерация корневого сертификата. Корневой сертификат подписывается самим собой. А потом уже этим сертификатом будут подписываться другие сертификаты.

$ openssl genrsa -out root.key 2048 Generating RSA private key, 2048 bit long modulus ..........+++ ...........................................+++ e is 65537 (0x10001) $ openssl req -new -key root.key -out root.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :My Company Root Certificate Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name :My Company $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] Getting Private key

Таким образом мы сгенерировали сначала приватный ключ, затем запрос подписи, а затем своим ключом подписали свой же запрос и получили собственный цифровой сертификат, выданный на 10 лет. Пароль (challenge password) при генерации сертификата можно не вводить.

Приватный ключ ОБЯЗАТЕЛЬНО необходимо хранить в надежном месте, имея его можно подписать от вашего имени любой сертификат. А полученный корневой сертификат можно использовать для идентификации того, что сертификат, например, сервера подписан именно нами, а не кем-то еще. Именно такие действия выполняют авторизационные центры, когда генерируют собственные сертификаты. После создания корневого сертификата можно приступать к генерации сертификата сервера.

Просмотр информации о сертификате

Содержимое сертификата можно просмотреть таким образом:

$ openssl x509 -noout -issuer -enddate -in root.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] notAfter=Jan 22 11:49:41 2025 GMT

Мы видим, кто выдал этот сертификат и когда заканчивается срок его годности.

Серверный сертификат

Для подписи сертификата для сервера нам нужно выполнить следующие действия:

1) Сгенерировать ключ
2) Сгенерировать запрос на подпись
3) Отправить CSR-файл в авторизационный центр или подписать самостоятельно

В серверный сертификат может включаться цепочка сертификатов, которыми подписан сертификат сервера, но ее можно также хранить в отдельном файле. В принципе, выглядит всё примерно так же, как и при генерации корневого сертификата

$ openssl genrsa -out server.key 2048 Generating RSA private key, 2048 bit long modulus ...................................................................................+++ ..........................+++ e is 65537 (0x10001) $ openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :www.mycompany.com Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] notAfter=Jan 25 12:22:32 2016 GMT

Таким образом сертификат сервера подписан и мы будем знать, какой организацией выдан этот сертификат. После подписи готовый сертификат можно использовать по назначению, например, установить на веб-сервер.

Установка SSL/TLS-сертификата на сервер с nginx

Для установки SSL/TLS-сертификата на веб-сервер nginx надо выполнить несколько простых шагов:

1) Скопировать файлы.key и.pem на сервер. В различных операционных системах сертификаты и ключи могут храниться в разных директориях. В Debian’е, к примеру, это директория /etc/ssl/certs для сертификатов и /etc/ssl/private для ключей. В CentOS это /etc/pki/tls/certs и /etc/pki/tls/private

2) Прописать необходимые настройки в конфигурационный файл для хоста. Вот как это примерно должно выглядеть (это просто пример):

Server { listen 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # Не рекомендуется использовать SSLv3 !!! # Он здесь только для примера ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / { try_files $uri $uri/ =404; } }

3) Перезапустить nginx

4) Зайти браузером на 443 порт сервера — https://www.mycompany.com и проверить его работоспособность.

Установка SSL/TLS-сертификата на сервер с Apache

Установка SSL/TLS-сертификата на Apache выглядит примерно так же.

1) Скопировать файлы ключа и сертификата на сервер в соответствующие директории

2) Включить модуль ssl для Apache командой «a2enmod ssl», если он еще не включен

3) Создать виртуальный хост, который будет слушать 443 порт. Конфиг будет выглядеть примерно так:

ServerAdmin [email protected] DocumentRoot /var/www Options FollowSymLinks AllowOverride None Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile /etc/ssl/private/server.key # Эта директива добавляет файл, содержащий список # всех сертификатов, которыми подписан сертификат сервера #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions +StdEnvVars SSLOptions +StdEnvVars BrowserMatch "MSIE " \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

При этом надо сделать еще кое-что. Найти в файле httpd.conf, или apache2.conf, или ports.conf, в зависимости от системы, такой участок конфига:

Listen 443

Если такого условия нет, его надо добавить в конфиг. И еще одно: Надо добавить строку

NameVirtualHost *:443

Эта строка может находиться в файле httpd.conf, apache2.conf или ports.conf

4) Перезапустить веб-сервер Apache

Создание клиентского сертификата

Клиентский сертификат создается примерно так же, как серверный.

$ openssl genrsa -out client.key 2048 Generating RSA private key, 2048 bit long modulus ........................+++ ..................................................+++ e is 65537 (0x10001) $ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :Saint-Petersburg Locality Name (eg, city) :^C mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petrersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :Engineering Common Name (e.g. server FQDN or YOUR name) :Ivan Ivanov Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] notAfter=Jan 25 13:17:15 2016 GMT

Если необходим клиентский сертификат в формате PKCS12, создаем его:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Enter Export Password: Verifying - Enter Export Password:

Теперь можно использовать клиентский сертификат для работы с нашим сервером.

Настройка nginx на использование клиентских сертификатов

Чаще всего, как я уже сказал, используется односторонняя аутентификация, обычно проверяется только сертификат сервера. Давайте посмотрим, как заставить веб-сервер nginx проверять клиентский сертификат. Необходимо в секцию server добавить опции для работы с клиентскими сертификатами:

# Корневой сертификат(ы), которым(и) подписан клиентский ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Возможные варианты: on | off | optional | optional_no_ca ssl_verify_client optional; # Глубина проверки цепочки сертификатов, которыми подписан клиентский ssl_verify_depth 2;

После этого надо перезагрузить настройки или сервер целиком и можно проверять работу.

Настройка Apache на использование клиентских сертификатов

Apache настраивается также через добавление дополнительных опций в секцию виртуального хоста:

# Директория, содержащая корневые сертификаты для проверки клиентов SSLCARevocationPath /etc/apache2/ssl.crl/ # или файл, содержащий сертификаты SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # Опция верификации клиента. Возможные варианты: # none, optional, require and optional_no_ca SSLVerifyClient require # Глубина просмотра цепочки подписей. По умолчанию 1 SSLVerifyDepth 2

Как видите, опции примерно такие же, как и для nginx, поскольку процесс проверки организован единообразно.

«Прослушка» информации о сертификате при помощи openssl

Для проверки взаимодействия сервера с клиентскими сертификатами можно проверить, устанавливается ли соединение с использованием TLS/SSL.

На стороне сервера запускаем прослушку порта при помощи openssl:

Openssl s_server -accept 443 -cert server.pem -key server.key -state

На стороне клиента обращаемся к серверу, например, culr’ом:

Curl -k https://127.0.0.1:443

В консоли со стороны сервера можно наблюдать процесс обмена информацией между сервером и клиентом.

Можно также использовать опции -verify [глубина проверки] и -Verify [глубина проверки]. Опция с маленькой буквы запрашивает у клиента сертификат, но он не обязан его предоставлять. С большой буквы — если сертификат не предоставлен, возникнет ошибка. Запустим прослушку со стороны сервера таким образом:

Openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Со стороны сервера ошибка выглядит так:

140203927217808:error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate:s3_srvr.c:3287:

Со стороны клиента так:

Curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Добавим с клиентской стороны сертификат и доменное имя (можно для проверки вписать в файл /etc/hosts имя хоста для адреса 127.0.0.1):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Теперь соединение пройдет успешно и можно устанавливать серверный сертификат на веб-сервер, клиентский отдать клиенту, и работать с ними.

Безопасность

При использовании SSL/TLS одним из основных методов является метод MITM (Man In The Middle), «человек посередине». Этот метод основывается на использовании серверного сертификата и ключа на каком-то узле, который будет прослушивать трафик и расшифровывать информацию, которой обмениваются сервер и клиент. Для организации прослушивания можно использовать, например, программу sslsniff. Поэтому корневой сертификат и ключ обычно желательно хранить на машине, которая не подключена к сети, для подписания приносить запросы на подпись на флэшке, подписывать и так же уносить. И, естественно, делать резервные копии.

В общих чертах именно так и используются цифровые сертификаты и протоколы TLS и SSL. Если есть вопросы/дополнения, пишите в комментарии.

Навигация по записям

: 29 комментариев

1. cl-service.com

   CSR клиент генерирует сам при заказе сертификата, где сохранять закрытый ключ также решает клиент, для выпуска сертификата нам не нужен закрытый ключ и клиент нам его никак не передает. Естественно если это происходит на обычном виртуальном, то у администраторов с root доступом к серверу есть доступ и к ключам, которые там хранятся.

2. Доброжелатель.

   Тема сисек не раскрыта, ибо описанная технология работы PKI не имеет ничего общего с заголовком темы. Хоть бы для причия ссылки на rfc привел.
   P.S. Был такой анекдот про собаку и блоху.

3. Доброжелатель.

   Нивкоем случае не хотел тебя обидеть. Искал инфу о различии SSl и TLS на практике и твоя ссылка в гугле была первая. Был заинтрегован названием темы. Все круто, так держать!

4. DrAibolit

   Благодарю за толковые пояснения о цифровой сертификации. Я новичок в этом=)
   Надеюсь разъясните следующий вопрос.
   Поскольку в интернет индустрии очень развита тема мошенничества, хотелось бы научиться определять на «вшивость» самостоятельно посещаемые мною сайты (особенно, где присутствуют кашельки и оплаты, инвестиции и т.д) и определять исходя из этого степень моего доверия (приходится часто регистрироваться, оставлять личную информацию, совершать покупки, транзакции, инвестиции). Если я правильно понял, что наличие данной сертификации позволяет сделать такую оценку. Ну и с другой стороны, получить ее не проблема и даже бесплатно.
   Как или с помощью какой программы можно определить наличие цифрового сертификата у того или иного сайта? и желательно его категорию, которая присваивается при выдаче спецорганом SSL DV (выдача сертификата проводится с проверкой только домена), SSL OV (с проверкой организации), EV (с расширенной проверкой юрлица). Мошеннические сайты скорее всего последним вариантом сертификации пользоваться не станут..
   Буду рад, если поведаете еще способы определения надежности сайтов))

   1. mnorin Автор записи

      Какой-то определенной программы для этих целей я еще не встречал, но пару советов по этому поводу могу дать.
      Можно использовать, например, Chromium или Google Chrome. Возьмем, например, сайт https://www.thawte.com/ — компания, которая собственно цифровымисертификатами и занимается.
      В адресной строке будет написано название компании и зеленый замочек. Это значит, что организация проверена, это как минимум SSL OV.
      Если кликнуть на замочек, а в выпавшем окошке «Details», а затем «View Certificate», то можно увидеть информацию о сертификате. Для Thawte сертификат подписан следующим сертификатом: «thawte Extended Validation SHA256 SSL CA», а сертификат для click.alfabank.ru тоже подписан Thawte, но другим сертификатом. Это «thawte EV SSL CA — G3», то есть они тоже проходили Extended Validation.
      Как-то так.

5. Руслан

   Раздел «Принцип работы SSL и TLS», «Клиент генерирует случайную цифровую последовательность».

   Я был уверен что клиент генерирует сеансовый закрытый и, соответственно, открытый ключи (который вы, очевидно, и назвали «цифровая последовательность»). Открытый ключ передаётся серверу и сервер шифрует пакеты в сторону клиента сеансовым открытым клиентским ключом.

   Уточните, пожалуйста.

6. Новичок

   Статья очень полезная! Даже есть практические примеры=) Только я не понял одну вещь — в чем различие между корневым сертификатом и серверным? или это одно и тоже?

7. Виталий

   Здравствуйте.
   Хостер предложил услугу - SSL для виртуальных серверов. Воспользовались. Оказалось, что для третьего уровня, т.е. http://www.site.ru сертификат недействителен, только для site.ru. Притом, посетителей упорно кидает на протокол https, не важно, заходят они на site.ru или на http://www.site.ru . Разумеется, во втором случае браузер начинает истошно ругаться, а посетитель до сайта так и не добирается.
   А для тех, кто до сайта таки добрался, сайт стал выглядеть криво, пропала часть меню, перестала отображаться часть картинок в выдаче некоторыми компонентами.