Что такое SSL?

Что вы видите, представляя обычную деловую операцию? Кассу в местном продуктовом магазине? А может, стойку с лимонадом в конце улицы?

Скорее всего, вы не думаете о веб-сайте. Тем не менее сейчас в цифровом виде выполняется больше операций, чем когда-либо. На самом деле мировые продажи в сфере электронной коммерции превысят 8 триллионов долл. США к 2027 году, что на 42 % больше, чем в 2023 году.

Проблема вот в чем: онлайн-операции часто включают передачу конфиденциальной информации через потенциально небезопасные устройства и сети. В свою очередь, цифровые взаимодействия должны быть конфиденциальными и безопасными. К счастью, именно для этого и созданы цифровые сертификаты и протокол SSL (Secure Sockets Layer, уровень защищенных сокетов).

Не знакомы с ними? Не волнуйтесь, мы введем вас в курс дела. Читайте дальше, чтобы узнать подробнее о системе безопасности SSL, важности шифрования и о том, как выбрать соответствующий цифровой сертификат для своей организации.

Что такое протокол безопасности на транспортном уровне (TLS)?

По сути, протокол безопасности на транспортном уровне — это современный преемник первоначального протокола безопасности SSL. Тем не менее многие люди по-прежнему используют название «SSL», хотя в действительности имеют в виду TLS. В настоящее время вы даже можете увидеть сочетание аббревиатур: шифрование SSL/TLS.

Несмотря на это, они не обязательно взаимозаменяемы, так как между ними есть заметная разница.

Проще говоря, шифрование TLS более безопасное, чем его предшественник. На протяжении многих лет существовало несколько версий системы безопасности SSL, каждая из которых имела уязвимости, которые позже были обнаружены. Вот почему SSL не обновлялся с 1996 года и теперь считается «устаревшим».

Таким образом, TLS — это протокол безопасности по умолчанию на современном рынке, даже если его до сих пор часто называют «SSL». Протокол TLS 1.3 (последняя версия) исправляет многие существующие недостатки более ранних версий, обеспечивая самое безопасное и защищенное соединение. Собственно, Национальный институт стандартов и технологий (NIST) требует, чтобы все TLS-серверы и TLS-клиенты государственных органов поддерживали TLS 1.2, и рекомендует им внедрить TLS 1.3 в 2024 году.

Что такое цифровые сертификаты?

Цифровой сертификат — это электронный документ, который выполняет аутентификацию устройства, веб-сервера, пользователя или другого объекта с помощью криптографии и инфраструктуры открытых ключей (PKI). Цифровые сертификаты — это ценные инструменты, которые помогают организациям обеспечить доступ к их сетям только доверенным объектам.

Как мы объясним далее, они также обычно используются для аутентификации веб-сайта в веб-браузере, что позволяет SSL устанавливать шифрованное соединение. Этот конкретный тип сертификата называется «сертификат SSL» или «сертификат TLS», но об этом позже.

Владельцу веб-сайта сертификаты SSL и TLS необходимы для защиты организации, клиентов и сотрудников от все более смелых векторов угроз, бросающих вызов современной кибербезопасности. Веб-сайты и серверы, не имеющие шифрования, подвержены атакам. Это означает, что ценные конфиденциальные данные могут оказаться под угрозой.

Действительно, к владению доменом веб-сайта нельзя относиться легкомысленно. Ниже подано несколько причин для развертывания сертификата SSL или TLS.

• Безопасность данных. Система безопасности SSL гарантирует, что конфиденциальная информация доступна только предполагаемым получателям и что несанкционированные пользователи не могут ее получить. Это особенно важно для защиты учетных данных, финансовых данных, личной информации и других ценных мишеней.
• Устойчивость к фишингу. Цифровые сертификаты также предотвращают определенные виды кибератак, например фишинг. Хакеры обычно обманным путем пытаются заставить ничего не подозревающих жертв ввести конфиденциальные данные на поддельном веб-сайте, который такие жертвы считают настоящим. Однако сертификат TLS может выполнить аутентификацию веб-сервера и предупредить пользователей о том, является ли домен законным или нет.
• Безопасность идентификационных данных. Система безопасности SSL шифрует имена пользователей, пароли и формы, используемые для отправки личной информации, тем самым создавая более безопасные условия для ваших клиентов.
• Удержание и конверсия клиентов. Потенциальные клиенты, которые посещают ваш сайт, с большей вероятностью совершат покупку, если будут знать, что процесс оформления заказа защищен с помощью безопасного соединения. Система безопасности SSL может избавить вас от затруднений, связанных с утечкой данных, которая, как известно, отпугивает по меньшей мере 83 % потребителей.
• Рейтинг в поисковых системах. Google фактически наказывает веб-сайты без сертификатов SSL, помечая их как незащищенные, что может негативно влиять на оптимизацию в поисковых системах (SEO) и видимость веб-сайта.
• Соответствие требованиям. Увеличивающееся количество требований заставляет компании серьезно относиться к защищенному обмену данными. Например, Общий регламент по защите персональных данных (GDPR) устанавливает строгие стандарты шифрования. Компании, нарушающие правила GDPR, будут оштрафованы на 20 миллионов евро или 4 % от мирового годового дохода фирмы за предыдущий финансовый год, в зависимости от того, какая сумма больше.

Понятно, что шифрование SSL важно, но как работает SSL? Давайте рассмотрим подробнее и объясним все по порядку.

В целом процесс выглядит следующим образом:

1. Браузер или сервер пытается безопасно подключиться к веб-сайту (например, веб-серверу) с помощью SSL. Веб-клиент отправляет сообщение серверу о необходимости начать процесс.
2. В ответ веб-сайт отправляет обратно копию своего сертификата SSL, называемого открытым ключом.
3. Браузер или сервер проверяет, доверяет ли он сертификату SSL. Если да, он создает и отправляет зашифрованный закрытый ключ обратно на веб-сайт.
4. Веб-сервер получает и расшифровывает закрытый ключ. Затем он создает шифрованное соединение и доставляет содержимое обратно клиенту.
5. Наконец, клиент расшифровывает содержимое и может безопасно начать сеанс.

Этот процесс часто называют «рукопожатием SSL». Почему? Потому что, по сути, это соглашение между двумя сторонами, устанавливающее доверие между ними. На первый взгляд этот процесс может показаться длительным испытанием, но на самом деле он происходит за миллисекунды. В действительности он практически не влияет на работу конечного пользователя.

Примечательно, что SSL могут добавлять только веб-сайты, имеющие сертификат SSL или TLS. Эти сертификаты выступают в роли проверяющих, которые выполняют аутентификацию и подтверждают владельца веб-сайта. Одним из важных аспектов сертификата TLS является открытый ключ веб-сайта — механизм, который делает возможным шифрование.

Устройства просматривают открытый ключ и используют его для создания безопасных ключей шифрования с помощью веб-сервера. В то же время у веб-сервера есть закрытый ключ, который всегда хранится в секрете, так как именно он используется для расшифровки данных, зашифрованных открытым ключом.

Это большое количество ключей. Итак, чтобы подвести итог, приведем эти определения снова.

• Рукопожатие SSL. Переговоры между двумя сторонами (обычно браузером или сервером и веб-сервером), по результатам которых устанавливается безопасное соединение.
• Открытый ключ. Криптографический ключ, используемый для шифрования сообщений, предназначенных для конкретного получателя. Его можно расшифровать только с помощью второго инструмента, то есть закрытого ключа.
• Закрытый ключ. Этот ключ, также называемый секретным, используется для шифрования и расшифровки данных и, соответственно, начинает безопасный сеанс.

Цифровые сертификаты можно разделить по типу и уровню проверки. Давайте сначала рассмотрим три основных типа сертификатов SSL и TLS:

1. Однодоменный. Как следует из названия, однодоменный сертификат SSL применяется только к одному веб-сайту. Его нельзя использовать для аутентификации любого другого домена, включая поддомены веб-сайта, для которого он выдан.
2. С поддержкой поддоменов. Аналогично сертификат с поддержкой поддоменов применяется только к одному домену, но также может включать его поддомены. Таким образом, его можно использовать для защиты конфиденциальной информации и аутентификации всего, что находится под общим доменом.
3. Многодоменный. Напротив, один многодоменный сертификат SSL может распространяться на несколько несвязанных доменов.

Цифровые сертификаты также имеют разные уровни проверки, которые используются центром сертификации (CA) для подтверждения владения доменом. Их спектр варьируется от минимальной проверки до тщательной проверки благонадежности. Давайте рассмотрим каждый из этих уровней более подробно.

Сертификат расширенной проверки (сертификат EV SSL)

Большинство онлайн-пользователей предпочитает сертификат EV SSL, потому что он выдается с наиболее тщательной проверкой, которая включает проверку домена, а также перекрестные проверки, которые привязывают объект к конкретному физическому местоположению.

После такого вида проверки остается подробное документальное свидетельство, дающее клиентам возможность защищать права в случае мошенничества во время транзакций на этом веб-сайте.

Сертификат проверки организации (сертификат OV SSL)

Домены, которые получают сертификат OV, проходят несколько менее строгий процесс. CA связывается с лицом или компанией, запрашивающими сертификат, но не проводит полную проверку благонадежности по этому вопросу.

Помимо владения доменом, проверяется компания. Данные сертификата можно просматривать в большинстве основных веб-браузеров, что дает пользователям возможность определить, является ли законным сайт, на котором они находятся.

Сертификат проверки домена (сертификат DV SSL)

Веб-сайт, защищенный сертификатом DV, предлагает только заблокированный замок в адресной строке, но не отображает сведений об организации, поскольку их нет. Эти сертификаты подтверждают только право собственности на домен. Сертификаты можно приобрести анонимно и не привязывать домен к лицу, месту или организации.

Цифровые сертификаты бывают всех форм и размеров, предлагая различные уровни защиты и надежности. Важно выбрать соответствующий сертификат SSL/TLS для нужд вашего бизнеса, иначе может быть повышенный риск потенциальных атак и нарушений нормативно-правовых требований.

Во-первых, определите, какой уровень проверки необходим для вашей организации. Действуют ли в вашей отрасли строгие стандарты защиты и шифрования данных? Какой тип надежности необходим целевым клиентам? Какие виды личной информации вы собираете? Ответы на эти вопросы должны направить вас на правильный путь.

Затем нужно будет выбрать тип сертификата, необходимый для ваших конкретных целей. Задайте себе указанные далее вопросы. Как вы используете ключи? Есть ли у вас стандартный запрос веб-сервера или кластер серверов обмена, которые необходимо охватить? Понадобится ли вам многодоменный сертификат?

Все еще не уверены? Для того чтобы получить дополнительные рекомендации, воспользуйтесь нашим инструментом выбора сертификата SSL.

Получение сертификата

Как только вы сузите выбор, необходимо будет отправить запрос на подпись сертификата (CSR) в уполномоченный центр сертификации, например Entrust.

Кроме того, для каждого домена, включенного в сертификат, требуется разрешение владельца домена. CA не может обрабатывать запросы на сертификаты, если доменное имя не зарегистрировано на запрашивающую компанию, ее головную организацию или одну из ее дочерних компаний. Поэтому необходимо будет предоставить номер рабочего телефона и контактную информацию старшего руководителя. В целом вам понадобятся:

• действительная платежная информация;
• контактная информация для авторизации;
• техническая контактная информация;
• контактная информация для выставления счетов;
• составленный CSR;
• список всех доменов.

В Entrust мы предоставляем гибкий и удобный доступ к широкому спектру сертификатов SSL/TLS, так что вы можете выбрать наилучшее для своей организации.

Компания Entrust является одним из основателей Совета безопасности центров сертификации (Certificate Authority Security Council) и Форума центров сертификации и разработчиков браузеров (CA/Browser Forum). Наши эксперты по цифровой безопасности активно участвуют в разработке отраслевых стандартов для TLS/SSL, подписи документов, сертификатов подписи кода, а также управления сертификатами.

Мы не просто лидеры, мы предлагаем полноценный и надежный портфель цифровых сертификатов для широкого спектра корпоративных требований. С отмеченной наградами платформой сертификатов Entrust вы получаете определенные преимущества.

• Отмеченная наградами поддержка.
• Универсальная совместимость с браузерами.
• Неограниченное количество перевыпусков.
• Неограниченное количество лицензий сервера.
• 128- или 256-битное шифрование.
• Все сертификаты Entrust соответствуют общепринятому стандарту x.509 для инфраструктуры открытых ключей (PKI).