У сучасних умовах безпека даних та інформації в глобальній мережі є фундаментальним фактором. В Інтернеті з’являється все більше шкідливого програмного забезпечення та шахраїв, які щодня здійснюють атаки на сервіси та веб-сайти компаній.
SSL — це спеціальний протокол шифрування, який значно підвищує рівень безпеки передачі даних. Використовуючи спеціальну криптографічну систему шифрування для обміну ключами, протокол підвищує рівень конфіденційності та цілісності передачі даних між сервером і клієнтом. Всі сертифікати можуть мати різні рівні захисту, від яких залежить загальна функціональність. При цьому будь-який вибір рівня гарантує захист переданих даних.
Сертифікати безпеки сьогодні використовуються всіма ресурсами. Навіть якщо веб-сайт є звичайним блогом або форумом, без належного захисту та рівня безпеки він не зможе активно розвиватися. Причина проста — сайти без протоколів HTTPS блокуються всіма сучасними браузерами.
Сьогодні SSL використовується мільйонами веб-сайтів по всьому світу для захисту інформації, яку вони передають. Без нього неможливо організувати роботу інтернет-магазину та будь-якого ресурсу, де користувач вказує конфіденційну інформацію або змушений реєструватися. За допомогою протоколу вся передана інформація шифрується спеціальними ключами, і навіть перехоплені дані можна розшифрувати тільки за наявності ключів.
SSL-сертифікат виступає унікальним цифровим підписом для конкретного веб-сайту. Першими його почали використовувати великі фінансові компанії, банки та міжнародні платіжні системи. Однак зараз важко знайти веб-ресурс, який працює без сертифіката безпеки. Такі сайти намагаються уникати, а браузер завжди попереджає про потенційну небезпеку переходу.
Сертифікати містять певний набір інформації:
Сертифікат безпеки SSL вказує, що доменне ім’я дійсно належить конкретному сайту або компанії, а власник має повні права на використання спеціальних ключів для шифрування даних.
Процес можна розглядати як послідовність дій. Користувач або система отримує доступ до веб-сервера сайту. Це може бути будь-яка дія: майже все, що ви робите на сайті, є обміном інформацією, що вимагає запиту до сервера. Браузер користувача вимагає аутентифікації від веб-сервера.
У відповідь веб-сервер надсилає браузеру копію SSL-сертифіката, а браузер перевіряє, чи можна довіряти цьому сертифікату: чи не закінчився термін його дії, хто його видав тощо. Найближча аналогія — перевірка пропуску на вході до бізнес-центру.
Якщо все гаразд і сертифікат є надійним, браузер повідомляє веб-серверу, що він перевірив його надійність. Веб-сервер підтверджує це, повертає цифровий підпис і починає SSL-з’єднання. Тепер браузер і сервер можуть безпечно обмінюватися інформацією.
Замість користувача і браузера може бути якась служба і її сервер: передача інформації між сайтом і іншим ресурсом відбувається майже за тим самим принципом.
Тип сертифіката на сайті можна перевірити за допомогою браузера: натисніть на замок в адресному рядку і виберіть опцію «Безпечне з’єднання» або «Безпечне з’єднання», залежно від браузера. Далі ми опишемо, що таке SSL-сертифікати.
Самопідписаний. Такий сертифікат може створити будь-хто на своєму сервері. Але користі від нього немає: його вважає надійним тільки сервер, на якому він був створений. Всі інші не знають, яка організація видала сертифікат, тому браузери будуть попереджати користувачів або обмежувати доступ до ресурсу. Не використовуйте такі сертифікати.
З перевіркою домену. Всі інші типи, що перелічені тут, видаються спеціальними організаціями — сертифікаційними центрами. Сертифікаційні центри, або CA, генерують унікальну пару ключів для сайту і видають сертифікат. Такі сертифікати будуть відображатися коректно, вони є довіреними для браузерів, а їхні дані сертифіковані CA. Але для того, щоб центр видав сертифікат, він повинен спочатку перевірити особу, яка до нього звернулася, щоб переконатися, що ресурс не є шахрайським.
Різниця між типами полягає в тому, що саме центр перевіряє перед видачею сертифіката. Найпростіший варіант — перевірка домену, також відома як Domain Validation, або DV. SC перевіряє, чи є доменне ім’я сайту справжнім і чи існує ресурс, але не пов’язує його з жодною компанією. Це бюджетний тип сертифіката, дешевший за інші, і він підходить для приватних осіб або невеликих компаній.
Перевірка організації. Другий варіант — Organization Validation, або OV. У цьому випадку центр сертифікації перевіряє не тільки домен, але й компанію, якій він належить. За результатами перевірки він підтверджує, що компанія існує. Це варіант для комерційних сайтів, і такий сертифікат можуть придбати тільки організації.
Для банків та інтернет-магазинів, які працюють з платежами користувачів, рекомендується сертифікат рівня OV як мінімум. Він вважається більш надійним, оскільки перевіряє, серед іншого, існування компанії.
З розширеною перевіркою. Найскладніший, найдорожчий і найнадійніший тип: EV, або розширена перевірка. Щоб отримати такий сертифікат, потрібно пройти розширену перевірку в сертифікаційному центрі, відповісти на питання і надати деякі документи про компанію. Зате браузер буде окремо позначати сайти з такою перевіркою: значок замка буде зеленим, з підписаним ім’ям компанії і країною її реєстрації. Цей тип використовують корпорації, великі сервіси, що мають справу з платіжними даними, деякі банки.
Спеціальні типи. Для сайтів із особливими потребами існують окремі типи SSL-сертифікатів. Це опції, які можна додати до будь-якого з трьох вищезазначених типів сертифікатів. Наприклад, Wildcard — використовується для сайтів, що мають піддомени. Доменне ім’я в такому сертифікаті має зірочку, яка замінює ім’я піддомену.
Існує також MDC — мультидоменний сертифікат, який необхідний для ресурсів з декількома доменами та піддоменами. Наприклад, компанія має кілька сайтів з різними назвами: вона може придбати окремий сертифікат для кожного або один MDC для всіх трьох. Існують різні підтипи мультидоменних сертифікатів, основні з них — SAN і UCC.
SSL-сертифікат безпеки вже давно є важливим елементом захисту не тільки для інтернет-магазинів, але і для всіх сайтів, які передбачають взаємодію з користувачами. Реєстрація, залишення коментарів, додавання нових матеріалів від відвідувачів, не кажучи вже про онлайн-оплату — все це вимагає шифрування.
Пошукові системи також вимагають від веб-сайтів використання безпечного з’єднання. А користувачі стають все більш уважними до конфіденційності своїх даних. Використання SSL — це простий спосіб завоювати довіру користувачів і усунути будь-які побоювання щодо конфіденційності при передачі інформації через Інтернет.
