Какой компанией был разработан протокол ssl
Перейти к содержимому

Какой компанией был разработан протокол ssl

  • автор:

�� Протокол SSL

SSL — это открытый криптографический протокол (Secure Sockets Layer protocol, протокол защищенных сокетов), разработанный в 1996 году компанией Netscape для передачи зашифрованной информации по открытым каналам, обеспечивая надежный, защищенный обмен данными между двумя приложениями, работающими удаленно. Для работы протокол использует ассиметричную криптосистему с открытым ключом, разработанную компанией RSA Data Security.

SSL обеспечивает безопасный канал между клиентом и сервером, предоставляя возможность взаимной аутентификации, использования цифровых подписей для обеспечения целостности и шифрования для конфиденциальности.

В многоуровневой модели OSI протокол SSL располагается между протоколом транспортного уровня (например, TCP), и протоколом прикладного уровня (чаще всего HTTP).

Протокол SSL имеет два уровня: протокол записей (SSL Record Protocol) и протокол диалога (SSL Handshake Protocol). Нижний уровень SSL — SSL Record Protocol располагается поверх транспортного протокола (например, TCP). Верхний уровень — SSL Handshake Protocol позволяет серверу и клиенту идентифицировать друг друга и согласовывать алгоритм шифрования и криптографические ключи, до начала обмена данными.

В протоколе SSL реализована возможность два типа идентификации (или аутентификации):

  • идентификация на стороне клиента;
  • идентификация на стороне сервера.

Серверная сторона аутентифицируется всегда, в то время как клиентская — аутентифицируется опционно.

SSL-идентификация сервера позволяет клиенту проверить подлинность сервера, то-есть убедиться, что сертификат сервера и открытый ключ действительны и были выданы источником, находящимся в списке доверенных источников сертификатов этого клиента. В случае самоподписанных сертификатов клиенту нужно будет добавить исключение для данного сертификата.

SSL-аутентификация клиента позволяет серверу проверить личность пользователя. Используется в основном в финансовых системах.

При установлении соединения по SSL клиент и сервер обмениваются приветственными сообщениями (hello message). Кроме всего прочего приветственное сообщение устанавливает четыре основных параметра: версия протокола, идентификатор сессии, способ шифрования, метод компрессии, а также, два специально сгенерированных случайных числа; и сервер, и клиент, генерируют такие числа независимо друг от друга, а затем, просто обмениваются ими друг с другом.

После получения приветственного сообщения от клиента, сервер отсылает клиенту свой сертификат. После этого, производится еще ряд промежуточных обменных операций, в процессе которых, производится окончательное уточнение выбранного алгоритма шифрования и ключей. Для шифрования данных используются средства симметричной криптографии (например, DES, RC4 и т.д.) — протокол позволяет использовать по выбору различные алгоритмы для шифрования. В итоге сервер посылает клиенту некое финальное сообщение, после чего обе стороны приступают к обмену зашифрованной информацией.

Надежность соединения обеспечивается контролем целостности сообщений с помощью зашифрованного кода целостности (MAC). Для вычисления кодов МАС используются безопасные хэш-функции (например, безопасный хэш-алгоритм [SHA], MD5 и т.д.).

Одно из преимуществ SSL состоит в том, что он независим от протоколов приложений. Протокол высокого уровня может совершенно прозрачно располагаться поверх протокола SSL.

  • SSL v2.0 — первый реализованный протокол SSL
  • SSL v3.0 — ревизия протокола с целью предотвращения специфичных атак, добавление не-RSA шиф­ров и цепей сертификатов
  • TLS v1.Х — ревизия протокола SSL v3.0. Уровень MAC обновлен до HMAC. Добавлены дополнение блоков для блочных шифров, стандартизован порядок сообщений, расширены предупреди­тельные сообщения.

В настоящее время на смену SSL v3.0 пришел протокол TLS (Transport Layer Security), но она до сих пор используется во многих современных браузерах (Chrome, Firefox) и веб-серверах в целях обратной совместимости. По некоторым оценкам, через SSL 3.0 проходит около 1% всего интернет-трафика.

�� Похожие статьи на сайте

  • KeePassXC — общее описание и установка
  • VeraCrypt – бесплатная программа для шифрования файлов
  • Enigmail – дополнение Thunderbird для шифрования почтовых сообщений
  • Mailvelope — сквозное шифрование и подписывание web-почты
  • Профайл для настройки ssl на серверах nginx
  • Протокол SSL
  • Доступ к админке WP по SSL

Прошлое и настоящее SSL-сертификатов

SSL (Secure Sockets Layer), семейство транспортных криптографических протоколов, известно примерно с 1994 года (первые работы по использованию средств криптографии в качестве транспорта для уже известных протоколов проводились и раньше).

Последний протокол семейства, SSL v3, в июне 2015 года в RFC7568 объявлен устаревшим. Взамен него надлежит использовать новые версии семейства SSL, протоколы TLS (Transport Layer Security) версии 1.2 или старше (на момент написания этого текста).

Оба протокола используют так называемый сертификат открытого ключа стандарта X.509, который не вполне корректно принято называть сейчас SSL-сертификатом. Стандарт известен с 1988 года. Сертификат открытого ключа, успешно использовавшийся на протяжении всего прошедшего времени, успел продемонстрировать свои сильные и слабые стороны (о них сказано ниже).

X.509 используется в так называемой инфраструктуре открытых ключей (PKI) — сюда входит не только программное обеспечение для использования сертификатов и других компонентов стандарта для передачи данных по защищённым от перехвата каналам, но также и оборудование, организации, собственно люди, соблюдающие упомянутые стандарты и обеспечивающие функционирование всей инфраструктуры в самых разных масштабах. Одного системного администратора может быть достаточно для успешного поддержания PKI в рамках достаточно крупной локальной сети не очень большой организации.

Важно понимать, что SSL-сертификат — всего лишь формат документа. Он не является «магическим» инструментом для формирования доверия к тому или иному ресурсу. Сертификат позволяет, при соблюдении ряда условий, проверить аутентичность передаваемых данных, указать на степень доверия к источнику зашифрованных данных. Как любой инструмент, сертификат может быть использован как для формирования определённой степени доверия к источнику данных, так и для дискредитации его.

Криптография с открытым ключом

До 1970 года использовалась практически только криптография с симметричным ключом. Очевидное слабое звено таких криптографических схем — необходимость передачи ключа всем участвующим в защищённом обмене сторонам.

Изобретателем методики шифрования с открытым ключом считается Ральф Меркл. Если в случае симметричного шифрования один и тот же ключ (фиксированный набор данных произвольной длины) используется как для зашифровки, так и для расшифровки, то в подходе с открытым ключом есть два ключа: секретный, который надлежит знать только владельцу, и открытый — доступный всем желающим. Только владелец секретного ключа может дешифровать предназначенный для него шифротекст или подписать своим ключом любой набор данных (файл). В то же время любой владелец открытого ключа может отправить (зашифровать) текст владельцу секретного ключа, или проверить подпись того или иного файла.

Теоретически система шифрования с открытым ключом опирается на то, что разложение на простые множители достаточно больших чисел потребует много времени и/или значительных вычислительных мощностей. Это лежит в основе подбора секретного ключа по известному открытому. Всё упирается в вычислительные ресурсы и время. Сегодня принято считать, что использование ключей длиной 2048 бит не позволяет в общем случае подобрать секретный ключ за разумный срок в пределах вычислительной мощности, доступной в настоящее время. Рекомендуем ознакомиться с подробностями того, как длина ключа влияет на вероятность вскрытия шифра в случае симметричного шифрования и шифрования с открытым ключом. Упрощая: открытый ключ длиной 1024 бит по уровню требуемой вычислительной мощности примерно так же стоек, как и 80-битный симметричный ключ.

В случае использования RSA (сокращение по фамилиям изобретателей этой криптосистемы, Rivest-Shamir-Adleman) скорость шифрования примерно пропорциональна квадрату длины ключа, а расшифровки — кубу. Современные программы криптографии оперируют в общем случае с ключами вплоть до 4096 бит. Даже 2048 бит во многих случаях достаточно, чтобы исключить возможность взлома за разумное время. Использование более длинных ключей может серьёзно повысить затраты времени и вычислительной мощности, а также размер полученного шифротекста, при этом не добавляя существенных различий во времени, необходимом для дешифровки. Что сто лет, что миллион — на практике в большинстве случаев разницы нет.

Важный момент: если удалось сохранить и шифротекст, и актуальный для того момента открытый ключ, то рано или поздно (теоретически) текст удастся прочесть. Это следует иметь в виду, если информация предназначена для длительного хранения без доступа к ней третьих лиц. Шифрование в таком виде не предполагает наличия т. н. Perfect forward secrecy, когда получение ключа для шифрования в будущем не повлияло бы на возможность расшифровки прошлых сообщений.

Сертификаты и PKI в целом

Не очень сложно сформулировать основные принципы PKI. Поскольку всё вращается вокруг пар ключей и цифровых подписей, основные положения легко вывести, опираясь на эти термины.

Сертификат позволяет определить степень доверия — поскольку создать сертификат может кто угодно, вопрос именно в доверии. Цифровая подпись открытого ключа (одна из частей сертификата) и является способом обозначить доверие.

Наличие цифровой подписи означает, что где-то в этой цепочке имеется начало. Так называемые корневые сертификаты, принадлежащие обычно центрам сертификации (Certificate Authority, CA), должны приниматься на веру. На практике ряд корневых сертификатов уже вносится или в соответствующие хранилища конкретной операционной системы, или в хранилище программы, использующей SSL/TLS (такие как браузеры, почтовые клиенты и т. д.).

Помимо наличия цифровой подписи от достойного доверия CA, требуется ассоциировать сертификат с конкретным ресурсом (например, Web-сайтом, доступ к которому осуществляется по HTTPS или иному аналогичному защищённому протоколу). В сертификате указывается доменное имя и/или IP-адрес ресурса, чтобы клиент мог определить, насколько достоверным является сертификат. По той же причине в сертификате указывается, кому он выдан (лицу или организации), срок его действия. Всё это, взятое вместе, позволяет удостовериться, что сертификат используется именно тем, кому выдан.

CA, выдающие (подписывающие) сертификаты, по сути ручаются за добропорядочность владельцев ресурсов, которым их выдают. Это приводит к ложному выводу, что сертификат, полученный у надёжного CA, особенно платный (а тем более — очень дорогой), гарантирует добропорядочность.

На практике, разумеется, это не так. Хотя широко используются иконки и значки, демонстрирующие степень доверия к сайту (например, зелёный замок в адресной строке), само по себе существование дорогого сертификата не может быть гарантией того, что посетителям сайта действительно гарантируется безопасность, высокое качество обслуживания и отсутствие последующих неприятностей.

Необходимо помнить, что взаимодействие ведётся с людьми. Надёжность, безопасность и прочие достоинства использования сертификатов X.509 определяются самым слабым звеном во всех системах безопасности: конкретными людьми.

Суммируя: SSL-сертификаты используются для реализации следующих основных возможностей:
конфиденциальности общения;
подтверждения целостности сообщения (что оно не было изменено в процессе доставки);
подтверждения аутентичности источника сообщения.

Отзыв ключей и сертификатов

Тем, кто пользуется криптографией, например, программой вида GnuPG (или её «предком» — OpenPGP), известно понятие сертификата отзыва (revocation certiificate). Поскольку для распространения GnuPG-ключей используются публичные серверы ключей, для аннулирования последующих операций с конкретным ключом обычно достаточно отправить на сервер ключей специальный сертификат, объявляющий конкретный ключ отозванным. После этого любой, кто берёт ваши ключи с серверов ключей, не сможет воспользоваться уже отозванным ключом, тем самым подвергая риску общением с вами по защищённому каналу.

В случае SSL-сертификатов есть несколько протоколов (CMP, OCSP и т. д.), позволяющих определить статус сертификата и, соответственно, возможность или невозможность его использования. На практике, поскольку в реальности связность в пределах Интернета и быстрый ответ тех или иных ресурсов не гарантирован, нет возможности достоверно объявить об отзыве сертификата. Типичная установка «доверять сертификату, если нет возможности проверить его статус» может использоваться злоумышленниками в ситуации, когда удаётся блокировать доступ к службам, проверяющим достоверность.

Различные модели доверия

CA может проводить как упрощённую верификацию, только по домену (DV — когда проверяется, что заказывающий сертификат управляет настройками домена), так и расширенную (OV — верификация организации; EV — расширенная верификация организации). В зависимости от ситуации и типа запрошенного сертификата, верификация может включать проверку существования организации-заказчика, наличие действующих контактных данных и т. д.

Вследствие всего этого цены на сертификаты OV/EV-типа, для которых требуется проверка, а главное — гарантия (например, в виде страхования), могут оказаться весьма высокими. В этой связи стоит упомянуть модель «сеть доверия» (Web of trust), когда доверие распространяется не только от корневого сертификата, надёжность которого не подлежит сомнению, а от человека или организации, за которых поручились другие участники сети доверия.

Проще говоря, если подтверждено доверие к одному из участников сети, то оно применяется и ко всем остальным участникам той же сети. Сама процедура верификации обычно требует физического присутствия человека, поэтому распространение таких сетей может оказаться не слишком простым процессом.

В число недостатков подхода «сеть доверия» можно включить не очень понятную процедуру отзыва доверия (как усилиями самого участника сети, так и усилиями других лиц или организаций).

Примером CA, работающего по схеме сети доверия, является OpenCA. При минимальном уровне доверия их сертификаты по сути подтверждают только факт управления доменным именем. Кроме того, корневой сертификат OpenCA не входит по умолчанию в хранилища доверенных сертификатов ОС и отдельных программных продуктов — так что ещё предстоит убедить пользователя внести его вручную. Использование сертификатов для ресурсов коммерческой направленности, для ресурсов, обрабатывающих или хранящих частные данные, и т. п. становится проблематичным.

Организация EFF (Electronic Frontier Foundation) объявила о запуска в сентябре 2015 года сервиса Lets Encrypt, где бесплатный сертификат сможет получить каждый ресурс.

Злоупотребление доверием

Главное слабое звено любых схем безопасности — люди. PKI не исключение. В случае, если интересы государства или иных силовых структур превозмогают ожидания пользователя, становится возможным использование т. н. SSL-прокси (вариант атаки man-in-the-middle), тем самым исчезает уверенность в том, что обмен данными остаётся конфиденциальным.

Два известных примера, иллюстрирующих возможные опасности использования схем доверия, фундаментальных для этой инфраструктуры. Голландский CA DigiNotar был закрыт после ряда инцидентов, начавшихся 10 июля 2011 года, когда злоумышленниками были получены подложные мультидоменные сертификаты (вначале использовавшиеся для маскировки под сервисы Google, несколькими днями позже к списку добавились домены других популярных интернет-сервисов).

Другой пример — инцидент с CA TrustWave, который выпустил в 2011 году подчинённый (дочерний) CA-сертификат, пригодный для фальсификации любого сертификата в ситуации, когда установлен корневой сертификат TrustWave. Хотя компания и признала сам факт такой выдачи, а также отметила, что были приняты все меры, чтобы подобной фальсификации не могло произойти, их корневой сертификат был отозван большинством ОС и программных продуктов.

В случае подобных инцидентов главное — оперативность отзыва корневых сертификатов. В этом заключается один из недостатков SSL-сертификатов: нет механизма, гарантирующего быстрый отзыв того или иного сертификата. По ряду причин далеко не все ОС и программные продукты всегда используют последние, наиболее актуальные списки доверенных корневых сертификатов. Даже разница в считанные дни может привести к нежелательным последствиям (масштабы последствий определяются тем, для чего именно был выдан фальсифицированный или более не доверенный сертификат).

Также следует отметить, что производители некоторых ОС и программных продуктов (пример: Microsoft в случае с Windows) могут дополнять список доверенных сертификатов в хранилище ОС без явного уведомления о том пользователя.

Программные ошибки при использовании сертификатов

Одной из наиболее неприятных проблем является полное игнорирование ошибок сертификатов при использовании защищённого соединения. В статье «The Most Dangerous Code in the World» рассматриваются типичные приёмы, непригодные с точки зрения практической информационной безопасности, когда ошибки сертификатов просто игнорируются.

Другим инцидентом была ситуация, когда продукты Mozilla стали считать недействительными все самоподписанные сертификаты, для которых не было возможности проверить достоверность на внешних службах (таких как OCSP-серверы). Следствием стала практическая невозможность использования таких продуктов для локальных сетей компаний, где обычно использовался их собственный CA и его корневой сертификат.

Перспективы использования SSL-сертификатов

В ближайшее время вряд ли появится альтернатива PKI на базе стандарта X.509: размах необходимых действий по глобальному переходу на новые стандарты был бы весьма велик. По той же причине не следует ожидать существенного преодоления уже известных проблем стандарта, таких как невозможность оперативного исключения корневого сертификата, или трудоёмкая процедура получения сертификата в целом.

Практически все протоколы и сети Интернета переходят на защищённый канал передачи данных. Как следствие, спрос на SSL-сертификаты будет только возрастать. Насколько жизнеспособными окажутся модели OpenCA и Lets Encrypt, можно только гадать.

А пока тщательная проверка репутации CA перед приобретением у него сертификата является самым надёжным средством убедиться, что вас не ждут неприятности в этой области, как минимум до появления ближайшего обновления любого из установленных у вас на компьютере продуктов, использующих SSL/TSL. И, разумеется, имеет смысл следить за всеми обновлениям ОС и компонентов, не забывать интересоваться их состоянием с точки зрения безопасности.

Материалы и ссылки по теме

Что такое протокол HTTPS и принципы его работы

В статье мы расскажем, что означает HTTPS в адресе сайта (расшифровка HTTPS), как работает этот протокол и зачем вообще переходить на безопасное соединение.

Что такое защищенное соединение HTTPS

HTTPS (от англ. HyperText Transfer Protocol Secure) – это безопасный протокол передачи данных, который поддерживает шифрование посредством криптографических протоколов SSL и TLS, и является расширенной версией протокола HTTP. Чтобы лучше понять, что же значит HTTPS, разберемся со всем по порядку.

Миллионы интернет-пользователей постоянно обмениваются информацией. Это могут быть как дружеские беседы, весёлые картинки, рабочие переписки, так и банковские и паспортные данные, номера договоров и другая конфиденциальная информация. Работа всей всемирной паутины основана на протоколе HTTP. Благодаря нему пользователи могут передавать данные.

Сначала HTTP (HyperText Transfer Protocol) использовался только как протокол передачи гипертекста (текста с перекрёстными ссылками). Однако позже стало понятно, что он отлично подходит для передачи данных между пользователями. Протокол был доработан для новых задач и стал использоваться повсеместно.

Несмотря на свою функциональность у HTTP есть один очень важный недостаток ― незащищённость. Данные между пользователями передаются в открытом виде, злоумышленник может вмешаться в передачу данных, перехватить их или изменить. Чтобы защитить данные пользователей, был создан протокол HTTPS.

HTTPS работает благодаря SSL/TLS-сертификату. SSL/TLS-сертификат ― это цифровая подпись сайта. С её помощью подтверждается его подлинность. Перед тем как установить защищённое соединение, браузер запрашивает этот документ и обращается к центру сертификации, чтобы подтвердить легальность документа. Если он действителен, то браузер считает этот сайт безопасным и начинает обмен данными. Вот откуда взялась и что означает S в HTTPS.

Чем отличается SSL от TLS

Для защиты интернет-соединения в 90-х годах компания Netscape создала SSL-сертификат. У первых версий этого сертификата было много недостатков. За несколько лет вышло три версии SSL. Огромный скачок в его усовершенствовании произошел в 1999 году при совместной работе с компанией Consensus Development. Кроме серьёзных доработок, сертификат получил новое название — TLS (что значит — защита транспортного уровня). Несмотря на новое название, пользователи всё равно применяли привычное понятие SSL. Разработчики встали на сторону пользователей и не стали акцентировать внимание на наименовании, поэтому часто можно увидеть двойное название этого сертификата (SSL/TLS), или просто SSL. Однако в официальной документации всё равно используется аббревиатура TLS.

Система HTTPS похожа на провод, который состоит из двух слоёв: медная сердцевина и оболочка. Медная сердцевина ― основная часть провода, по которой идёт ток. Оболочка защищает контакты от внешних воздействий. Так, медная сердцевина ― это HTTP-протокол, а защитная оболочка ― это SSL-сертификат. Такое сотрудничество создаёт безопасное HTTPS-соединение.

Ключи шифрования

Кроме подтверждения подлинности сайта, SSL-сертификат шифрует данные. После того как браузер убедился в подлинности сайта, начинается обмен шифрами. Шифрование HTTPS происходит при помощи симметричного и асимметричного ключа. Вот что это значит:

  • Асимметричный ключ — каждая сторона имеет два ключа: публичный и частный. Публичный ключ доступен любому. Частный известен только владельцу. Если браузер хочет отправить сообщение, то он находит публичный ключ сервера, шифрует сообщение и отправляет на сервер. Далее сервер расшифровывает полученное сообщение с помощью своего частного ключа. Чтобы ответить пользователю, сервер делает те же самые действия: поиск публичного ключа собеседника, шифрование, отправка.
  • Симметричный ключ — у обеих сторон есть один ключ, с помощью которого они передают данные. Между двумя сторонами уже должен быть установлен первичный контакт, чтобы браузер и сервер знали, на каком языке общаться.

Чтобы установить HTTPS-соединение, браузеру и серверу надо договориться о симметричном ключе. Для этого сначала браузер и сервер обмениваются асимметрично зашифрованными сообщениями, где указывают секретный ключ и далее общаются при помощи симметричного шифрования.

Итак, какова функция протокола HTTPS?

  1. Шифрование. Информация передаётся в зашифрованном виде. Благодаря этому злоумышленники не могут украсть информацию, которой обмениваются посетители сайта, а также отследить их действия на других страницах.
  2. Аутентификация. Посетители уверены, что переходят на официальный сайт компании, а не на дубликат, сделанный злоумышленником.
  3. Сохранение данных. Протокол фиксирует все изменения данных. Если злоумышленник всё-таки пытался взломать защиту, об этом можно узнать из сохранённых данных.

Также стоит упомянуть, какой порт используется протоколом HTTPS по умолчанию. HTTPS использует для подключения 443 порт — его не нужно дополнительно настраивать

Схема работы HTTPS

Итак, протокол HTTPS предназначен для безопасного соединения. Чтобы понять, как устанавливается это соединение и как работает HTTPS, рассмотрим механизм пошагово.

Для примера возьмём ситуацию: пользователь хочет перейти на сайт Рег.ру, который работает по безопасному протоколу HTTPS.

Что такое протокол HTTPS 1

  1. Браузер пользователя просит предоставить SSL-сертификат.
  2. Сайт на HTTPS отправляет сертификат.
  3. Браузер проверяет подлинность сертификата в центре сертификации.
  4. Браузер и сайт договариваются о симметричном ключе при помощи асимметричного шифрования.
  5. Браузер и сайт передают зашифрованную информацию. Как работает HTTPS протокол

Зачем устанавливать HTTPS

Как мы говорили ранее, главная задача HTTPS — обеспечение безопасности передачи данных. Однако существует ещё несколько причин перейти на защищённое соединение:

Что такое протокол HTTPS 2

  • Отметка о небезопасности сайта. На данный момент Google и Яндекс хоть и позволяют пользователям открывать сайты по HTTP, но считают их небезопасными и предупреждают об этом в адресной строке браузера. Это может быть надпись «Не защищено» или красный восклицательный знак. Обозначение может отличаться в зависимости от браузера: Незащищённое соединение в Google Chrome

Что такое протокол HTTPS 3

Незащищённое соединение в Яндекс.Браузере

Визуальное обозначение привлекает внимание пользователей и заставляет отказаться от посещения сайта, поэтому есть риск потерять потенциальных клиентов.

  • Доверие. Сайты, которые заботятся о данных пользователей, вызывают доверие со стороны клиентов. Это добавляет лояльности аудитории.
  • SEO-оптимизация. Поисковые системы с недоверием относятся к сайтам, работающим по HTTP-протоколу. Даже при грамотной SEO-оптимизации можно не достичь желаемых показателей.

Сайты не обязаны работать исключительно по HTTPS-протоколу. Однако защита данных ― это важный элемент современной интернет-коммуникации. Когда сайт работает по небезопасному соединению, в браузере может отображаться ошибка «Подключение не защищено». Если вы пользователь, и встретили такое сообщение на просторах интернета, лучше покиньте небезопасный ресурс. Как исправить ошибку «Ваше подключение не защищено», если вы владелец сайта? Не стоит пренебрегать безопасностью клиентов, которые доверяют организациям свои личные данные. Закажите SSL-сертификат и переведите сайт на безопасное соединение HTTPS. Если вы уже выполняли эти настройки ранее, но на сайте всё равно сообщение об ошибке, следуйте инструкции.

Помогла ли вам статья?

Спасибо за оценку. Рады помочь ��

25 твитов об SSL-сертификатах

SSL сертификаты. Для чего они нужны, какие бывают, от чего защищают, кто использует, как долго действуют, есть ли гарантия? Разберем основные вопросы – кратко, в режиме твиттера – не более 280 символов на ответ.

1. Что такое SSL?

SSL означает Secure Sockets Layer – это протокол, используемый для шифрования и аутентификации данных, передаваемых между приложениями, например, браузером и веб-сервером.

2. Как появился сертификат SSL?

SSL версии 1.0 был разработан Netscape в начале 1990-х. Но из-за недостатков безопасности так и не был опубликован. Первым общедоступным выпуском был SSL 2.0, вышедший в феврале 1995 года. Это была улучшенная версия, но лишь после полного изменения дизайна утвердилась версии 3.0.

3. В чем суть сертификатов?

SSL-протокол не позволяет злоумышленникам читать и изменять транзакции и сообщения между браузером и сервером, например, передачу данных кредитных карт, логинов и т.п. Это гарантирует, что все данные останутся конфиденциальными и защищенными.

4. Что такое TLS-сертификат?

TLS (Transport Layer Security) – преемник и улучшенная версия SSL, имеет более надежные алгоритмы шифрования, но несмотря на схожесть считается другим стандартом.

5. Какие же протоколы сейчас используются?

SSL, как ни странно сейчас не используются. Было 3 версии 1.0, 2.0 и 3.0 и на основе версии SSL 3.0 создали протокол TLS 1.0. Затем вышли версии TLS 1.1, 1.2 и 1.3, а применяются только две последние.

6. Какой принцип работы SSL-сертификата?

При подключении браузера к сайту происходит «SSL-рукопожатие» (создаются ключи “рукопожатия”), далее происходит обмен криптографическими данными и в конце формируются сессионные ключи, на основе которых происходит шифрование трафика.

7. Какие существуют сертификаты?

  • SSC (Self-Signed Certificate)
  • SGC (Server Gated Cryptography)
  • SAN/UCC (Unified Communications Certificates)
  • Code Signing
  • Wildcard SSL Certificate
  • DV (Domain Validation)
  • OV (Organisation Validation)
  • EV (Extended validation)

8. И для чего каждый из них?

  • SSC – можно создать самому, но доверия нет
  • SGC – для очень старых браузеров
  • SAN/UCC – мультидоменный для MS Exchange
  • Code Signing – для подписи ПО
  • Wildcard – на домен и поддомены
  • DV – подтверждает доменное имя
  • OV – проверка организации, адреса и расположения
  • EV – дает наибольшую защиту

9. Есть ли другие виды сертификатов?

Да, например, сертификат Multi-Domain SSL на несколько доменов – не требует покупки сертификатов на каждый домен и упрощает администрирование. Code Signing certificates предназначен для защиты вашего кода, контента и других файлов во время их передачи в онлайн режиме.

10. Какие данные в SSL-сертификате?

SSL-сертификат содержит информацию:

  • Версия
  • Серийный номер
  • Идентификатор алгоритма поиска
  • Имя издателя
  • Период действия (не ранее⁄не позднее)
  • Субъект сертификата
  • Информация об открытом ключе субъекта
  • Уникальный идентификатор издателя
  • Уникальный идентификатор субъекта
  • Дополнения
  • Подпись

11. В чем различия между SSL и HTTPS?

SSL – протокол безопасности, используемый для установления защищенного соединения между веб-браузером и веб-сервером. HTTPS работает как подуровень между приложениями. HTTPS шифрует обычное HTTP-сообщение перед отправкой и расшифровывает его во время доставки.

12. Как узнать, использует ли сайт SSL/HTTPS?

Большинство браузеров помечают безопасные соединения, защищенные сертификатами SSL/TLS замком и/или сообщением.

Так выглядит защищенная страница (с замочком)А так выглядит незащищенная страница. К примеру, официальный интернет-портал правовой информации http://pravo.gov.ru не защищен (владелец ФСО России)

13. Как браузер может понять, корректен ли сертификат?

Операционная система компьютера хранит список корневых сертификатов, составляющих цепочку доверия. При открытии сайта браузер проверяет всю цепочку, вплоть до корневого. Если хоть один из сертификатов оказывается недействительным, то и вся цепочка также недействительна.

14. Почему SSL сертификаты такие дорогие?

SSL-сертификаты можно рассматривать как страховку, они дороги из-за прилагаемых к ним гарантиям. Если что-то пойдет не так, то поставщик сертификатов SSL выплатит конечному пользователю, пострадавшему от сбоя SSL страховую сумму.

15. Существуют ли бесплатные сертификаты и насколько они безопасны?

Бесплатные сертификаты существуют, выполняют ту же функцию, что и платные, но обычно имеют самый низкий уровень безопасности (DV), на него, вероятно, не будет гарантии, т.е. они безопасны но до некоторой степени. При угрозе посетители вашего сайта не смогут требовать гарантии.

16. Где купить?

Если ваш хост не предлагает бесплатные SSL-сертификаты или вам нужен другой тип сертификата, вы можете приобрести собственный сертификат в центре сертификации или у реселлера, имеющего скидки, что будет дешевле.

17. Что такое центр сертификации?

Центр сертификации (Certificate Authority, CA) – международная организация, которая выпускает и несет ответственность за SSL-сертификаты. CA проверяет домены и источники, подтверждающие подлинность организаций. Центрам сертификации доверяет 99% браузеров.

18. Каков процесс получения сертификата, после того как вы его оплатили?

Сначала вы генерируете CSR и секретный ключ. Затем отсылаете CSR в орган сертификации (CA) и получаете архив с текстовыми / бинарными файлами для разных типов веб-серверов. Затем устанавливаете его на хостинге или своем сервере.

19. Как воспользоваться SSL/TLS сертификатом?

  • Разместите сайт на сервере хостинг-провайдера.
  • Создайте CSR – запрос на сертификат, купите сертификат у доверенного центра сертификации или у реселлера.
  • Установите SSL/TLS сертификат в панели управления хостинга или на сервере.
  • Создайте редирект на защищенную версию сайта – https.

20. Как проверить правильность настройки сертификата?

Один популярных способов: зайдите на сайт Qualys, введите имя сайта и нажмите кнопку “submit. Сервис осуществит проверку и выдаст оценку в баллах. Если сайт получил А или А+, то сертификат работает корректно.

21. Связаны ли как-то SSL-сертификат и продвижение в сети (SEO)?

Если ваш сайт не защищен сертификатом SSL, то он получает от Google отметку «небезопасно». Кроме того, если вы хотите, чтобы контент и сайт занимали высокие позиции в результата выдачи, виртуальный замок вам всё же понадобится. Но основная цель всё же безопасность соединения.

22. Какой срок действия сертификата?

Коммерческий сертификат действует 1 год. Срок действия сертификатов неуклонно сокращался с 10 лет в 2011 году, далее до 3 лет в 2015 году, затем до двух лет в 2018 году и до года в настоящее время. Бесплатные сертификаты действуют на 90 дней.

23. Почему SSL-сертификаты не делают вечными?

Изменяются стандарты безопасности, соответственно старые сертификаты должны обновляться. Помимо этого, устанавливаемый жизненный цикл сертификата уменьшает риски, связанные с возможными потерями закрытого ключа.

24. Защищает ли SSL данные сайта?

Сертификат SSL/TLS помогает защитить данные, передаваемые между посетителем и сайтом, и наоборот. Но это не означает, что информация на сервере полностью защищена – администратор должен сам решить, как ее сохранить, например, вероятно ему стоит зашифровать базу данных.

25. И всё-таки, зачем нужен SSL сертификат?

Любая информация, отправляемая через интернет, проходит через сетевое оборудование, серверы, компьютеры и прочие соединения, и если данные не зашифрованы, то это делает их уязвимыми для атак.

В заключение капля юмора. Так выглядит сайт с говорящим названием рубрики: “SSL сертификат купить дешево” – http://www.net.ru/ssl/ssl-sertifikat-kupit-deshevo

Материал подготовлен компанией ITSOFT. Размещение и аренда серверов и стоек в двух ЦОДах в Москве; colocation GPU-ферм и ASIC-майнеров, аренда GPU-серверов. Лицензии связи, SSL-сертификаты. Администрирование серверов и поддержка сайтов. UPTIME за последние годы составляет 100%.

Похожие публикации:
  1. Почему акции сбербанка падают ноябрь 2021
  2. Что такое адрес втс на dbx
  3. Что такое брокерский счет в совкомбанке
  4. Что такое выписка из пфр для банка тинькофф

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *