Rýchly sprievodca pre SSL certifikáty: čo potrebujete vedieť o nich a ako si vybrať

V poslednom čase rastie podiel platných certifikátov SSL v rôznych zónach domén, ako aj všeobecný záujem o technológie SSL. Avšak nie všetci si uvedomili, s čím sa zaoberajú, keď počujú toto slovo. Preto sa budeme stále snažiť pochopiť, čo to znamená, a pomôžeme vám vybrať si presne certifikát, ktorý je špecificky potrebný pre váš projekt (a je to vôbec potrebné).

Pre bezpečný prenos dát medzi prehliadačom užívateľa a serverom sa používa kľúčová infraštruktúra, ktorá umožňuje šifrovanie prenášaných informácií pomocou verejného kľúča (známeho všetkým) a ich dešifrovanie pomocou súkromného kľúča (známeho len jeho vlastníkovi), ktorý sa nazýva asymetrické šifrovanie. Táto infraštruktúra podlieha medzinárodnej norme x.509, ktorá určuje zloženie elektronického certifikátu:

  • číslo verzie certifikátu (1-3);
  • poradové číslo;
  • identifikátor podpisového algoritmu;
  • názov organizácie, ktorá vydala osvedčenie;
  • doba platnosti certifikátu;
  • meno držiteľa certifikátu;
  • verejný kľúč držiteľa certifikátu;
  • digitálny podpis

Štandard x.509 neposkytuje špecifický šifrovací algoritmus, ale najbežnejším je RSA, čo sa používa v SSL certifikátoch.

Pred výberom certifikátu by bolo pekné zistiť, prečo sú potrebné a aké funkcie vykonávajú.

Akýkoľvek certifikát SSL vykonáva naraz tri dôležité funkcie:

  • šifrovanie prenášaných informácií;
  • autentifikácia prostriedkov (autentifikácia);
  • zabezpečenie integrity prenášaných informácií.

Užívateľovi je teda ukázané, že webový zdroj, ku ktorému je certifikát pripojený, môže byť dôveryhodný.

Ak chcete pochopiť, ako tieto tri funkcie SSL certifikátov fungujú, zvážte jednoduchý príklad. Dievča Anya si musí kúpiť letenku cez internetovú stránku leteckej spoločnosti a na tento účel pošle údaje o svojej kreditnej karte. Ak chcete mať istotu, že jej údaje nebudú zachytené tretími stranami, spoločnosť Anya skontroluje dostupnosť certifikátu SSL na webovej stránke vybranej leteckej spoločnosti. Je to jednoduché: stačí sa uistiť, že na začiatku panela s adresou je označenie spojenia https, ktoré je zvyčajne zvýraznené zelenou farbou. Potvrdzuje, že údaje medzi prehliadačom používateľa a serverom spoločnosti sú šifrované. V tomto prípade má letecká spoločnosť dva kľúče: otvorené, ktoré je prístupné pre všetkých a zatvorené, ktoré vie len ona. Správa zašifrovaná verejným kľúčom môže byť dešifrovaná iba súkromným kľúčom a šifrovaný súkromný kľúč môže byť použitý s verejným kľúčom. Ak certifikát SSL spoločnosti, ktorú si vybral náš cestujúci, vydalo platné certifikačné centrum, prehliadač spoločnosti Ani ju rozpozná ako dôveryhodnú (autentifikáciu) a svoje údaje zašifruje pomocou verejného kľúča. Aj keď útočník zachytí informácie prenášané Anyou, nebude môcť čítať, pretože nemá súkromný kľúč na ich dešifrovanie.

Certifikáty SSL s vlastným podpisom

Získanie SSL certifikátu je samozrejme kalkuláciou peňazí, kým je platný po obmedzenú dobu. Preto mnoho ľudí používa tzv. Self-signed SSL certifikáty. Môžete ich generovať pomocou hostiteľského ovládacieho panela priamo na webovom serveri a môžete to urobiť zadarmo. Nie je však vždy vhodné používať certifikát s vlastným podpisom.

Každý prehliadač skontroluje, či certifikát bol vydaný certifikačnou autoritou, ktorá je mu známa, a ak nie (a to je prípad certifikátu s vlastným podpisom), vydá chybu a zobrazí veľký znak s nápisom „Bezpečnostný certifikát lokality nie je dôveryhodný!“.

Takéto posolstvo určite vystraší potenciálneho klienta zo zdroja a bude ho chcieť opustiť a vlastník lokality zase stratí významnú časť svojho publika. Ak teda hovoríme o lokalitách s vysokou návštevnosťou alebo internetovými obchodmi, používanie certifikátov SSL s vlastným podpisom sa neodporúča.

Takéto nebezpečenstvo čaká na každého, kto sa nestará o bezpečné pripojenie https. Certifikáty s vlastným podpisom sú však celkom vhodné pre interné použitie: napríklad v malej organizácii, ktorej zamestnanci pridali certifikát dôveryhodným, pretože poznajú jeho pôvod. Sú vhodné aj pri použití servera Apache pri vývoji a testovaní aplikácií.

Zraniteľnosti zabezpečenia pomocou certifikátov SSL

Keď už hovoríme o kúpe SSL certifikátu, je dôležité pochopiť, že samo o sebe to nie je čarovná palička, zatiaľ čo mávate ju okamžite zbavujete všetkých problémov spojených s bezpečnosťou stránky. Bez ohľadu na to, aké zložité sú kryptografické šifrovacie mechanizmy, konečnou autoritou v infraštruktúre SSL certifikátov sú stále ľudia, a preto všetky otázky dôvery spočívajú na ľudskom faktore. V septembri 2015 teda spoločnosť Symantec omylom svojich zamestnancov vydala 164 nelegitímnych certifikátov pre 76 doménových mien. Ďalším chúlostivým momentom pomocou SSL certifikátov je uloženie tajného kľúča: nemôžete ho skryť v bezpečí, izolovať ho od vonkajšieho sveta, pretože sa často používa v procese HTTPS pripojenia a existuje možnosť hackovania servera, aby zachytil súkromný kľúč. Vinníkom za hacking môže byť opäť osoba - administrátor servera, ktorý nemohol z nejakého dôvodu chrániť server. Preto majitelia súkromných kľúčov často na nich nastavujú heslá.

Druhy SSL certifikátov

Ak sa rozhodnete kúpiť certifikát SSL od jedného z certifikačných orgánov, mali by ste zistiť, aké sú ich varianty. Na prvý pohľad je pomerne ťažké vybrať si certifikát SSL spomedzi mnohých, ktorí sú dnes na trhu zastúpení: cenový rozdiel môže dosiahnuť 100 000 rubľov a nie vždy je jasné, ktorá z možností konkrétneho certifikátu váš projekt skutočne potrebuje. Môžete to však pochopiť pomocou štyroch hlavných kritérií, ktoré by sa mali zohľadniť pri kúpe certifikátu SSL:

  1. požadovaný stupeň dôvery v zdroj;
  2. počet domén a subdomén, pre ktoré bol certifikát zakúpený;
  3. typ predmetu získania certifikátu: fyzická alebo právnická osoba;
  4. Veľkosť finančných možností na získanie certifikátu

Najprv pochopíme prvú položku.

Platnosť vášho zdroja môže byť potvrdená tromi rôznymi stupňami jeho overenia. Existujú teda tri rôzne typy certifikátov SSL, ktoré sa líšia v type validácie:

  • certifikáty potvrdzujúce vlastníctvo domény (overenie domény);
  • certifikáty potvrdzujúce okrem domény aj právnu existenciu organizácie (Overenie organizácie);
  • certifikáty s rozšírenou validáciou.

Overenie domény

Certifikáty DV potvrdzujú len to, že držiteľ certifikátu skutočne vlastní túto doménu a je najprístupnejším typom SSL certifikátu. Tieto certifikáty sú najvhodnejšie pre fóra a malé stránky alebo blogy s nie príliš veľa návštevníkov.

Certifikát SSL tejto úrovne:

  • poskytuje len počiatočnú úroveň ochrany;
  • k dispozícii fyzickým a právnickým osobám;
  • nevyžaduje poskytnutie dodatočných dokumentov;
  • K dispozícii za 5-10 minút;
  • bude stáť asi 1-4 tisíc rubľov ročne.

Validácia organizácie

Certifikát OV potvrdzuje obchodné postavenie organizácie a spôsobuje oveľa väčšiu dôveru používateľov ako certifikát DV. Tento typ certifikátu je vhodný pre internetový obchod a ďalší malý online obchod.

Osvedčenie o úrovni ochrany OV:

  • poskytuje priemernú úroveň ochrany;
  • vydané len právnickým osobám;
  • pre registráciu musíte poskytnúť kópie dokumentov organizácie, účet telefónnej spoločnosti s uvedeným názvom organizácie a telefónne číslo jej vlastníka;
  • K dispozícii v 1-5 dňoch;
  • bude stáť od asi 4000 rubľov do 50 000 rubľov ročne.

Rozšírená validácia

Pokročilé SSL certifikáty sú najspoľahlivejšie, ale aj najdrahšie. Vhodné pre veľkú a serióznu organizáciu, pre ktorú je dôležitá prestíž a bezpečnosť.

Certifikát úrovne EV:

  • Ponúka najvyššiu úroveň bezpečnosti a najvyššiu úroveň dôvery medzi ostatnými certifikátmi SSL.
  • vydané len právnickým osobám;
  • na registráciu sa vyžadujú tieto dodatočné dokumenty: osvedčenie o daňovej registrácii, oznámenie o registrácii právnickej osoby, oznámenie o registrácii ako poisťovateľa a iné;
  • podporuje cyrilické domény;
  • K dispozícii v 3-10 dňoch.
  • bude stáť od asi 10 000 do 100 000 rubľov ročne.

Po kontrole dokumentácie môže poskytovateľ tiež zavolať na deklarované telefónne číslo organizácie, čím dokončí ďalší kontrolný krok. Ale potom, čo prejdete všetky tieto pracovné postupy, bude vaše stránky mať najvyššiu úroveň dôvery, ako je uvedené v zelenej zásuvky s názvom spoločnosti v adresnom riadku. Podľa neho budú užívatelia schopní určiť vysoký obchodný status spoločnosti a keď kliknete na panel, zistite kompletné informácie o organizácii. Certifikáty tohto typu slúžia ako vynikajúca ochrana pred neoprávneným získavaním údajov (phishing): v dôsledku prísnych požiadaviek na overenie, útočníci nebudú môcť prejsť všetkými štádiami overovania, takže „falošné“ certifikáty EV sa nachádzajú v mimoriadne zriedkavých prípadoch.

Pýtate sa, aký certifikát si vybrať? Všetko závisí od zamerania vašej stránky a vášho rozpočtu. Je tiež užitočné zistiť, ktoré SSL certifikáty vaši partneri, konkurenti alebo väčšie stránky používajú. Napríklad známa služba pre rezervácie hotelov ostrovok.ru využíva certifikát PositiveSSL Wildcard od spoločnosti Comodo; Populárny internetový obchod wildberries.ru využíva certifikát SGC OV SSL Wildcard s maximálnou bezpečnosťou. Webové stránky Tinkoff.ru používajú certifikát SSL certifikátu EV od registračného centra Thawte.

Odporúčame, aby používatelia starostlivo skontrolovali názov spoločnosti, pretože podvodníci môžu vytvoriť „falošnú“ organizáciu s podobným názvom a viazať na ňu certifikát SSL.

Čo robiť, ak potrebujete chrániť viacero subdomén alebo rôznych domén na rovnakom serveri?

V tomto prípade budete musieť zakúpiť certifikát SAN (UCC), ktorý je ideálny pre viacdoménové projekty a produkty MS Exchange. Existujú certifikáty wildcard, ktoré chránia len niekoľko subdomén. Zakúpením takéhoto certifikátu poskytnete šifrovanie nielen pre hlavnú doménu, ale aj pre neobmedzený počet subdomén typu subdoména1.domena.com, subdoména2.domena.com atď. Avšak nie všetci poskytovatelia vydávajú Wildcard-certifikáty s ochranou hlavnej domény, takže pred objednaním stojí za to venovať osobitnú pozornosť tomuto. Hoci hlavnými výhodami certifikátu Wildcard sú pohodlie a úspory (nemusíte sa starať o certifikát pre každú subdoménu a platiť za to), je však niekedy lacnejšie, keď si stále zakúpite samostatné SSL certifikáty pre každú subdoménu, najmä ak ich nie je príliš veľa.

Urobme malé porovnanie hlavných poskytovateľov služieb SSL: Symantec, Thawte a Comodo. Napriek skutočnosti, že v skutočnosti všetky spoločnosti predávajú takmer rovnaký výrobok, existujú značné rozdiely v poskytovaní služieb. Symantec má najväčšiu predĺženú záruku, ktorá dosahuje 1 750 000 dolárov. Táto suma bude vyplatená v prípade, ak spoločnosť Symantec poruší podmienky záruky. Spoločnosť má tiež antivírusovú ochranu, ktorá vykonáva denné skenovanie stránok na vašom hostiteľovi za účelom odhalenia škodlivého softvéru. Stojí však za zmienku, že na túto funkcionalitu žiadajú veľa - spoločnosť Symantec má najdrahšie certifikáty zo všetkých 3 prezentovaných centier. Comodo má najdostupnejšie certifikáty, ktoré ponúkajú aj antivírusové skenovanie a služby analýzy PCI. Thawte neponúka žiadne ďalšie funkcie a má priemer všetkých cien za SSL certifikát.

Chcel by som poznamenať, že dnes väčšina majiteľov stránok získava SSL certifikáty okamžite od poskytovateľov hostingu. Napriek tomu, že sú to v skutočnosti sprostredkovatelia, cena certifikátov na úkor veľkých objemov predaja môže byť ešte nižšia ako cena samotného certifikačného centra!

Je dôležité poznamenať, že nie všetky certifikáty podporujú IDN (Internationalized Domain Names). Môžete si vybrať certifikát s ideálnym pomerom ceny a kvality, ale ak ho zakúpite pre cyrilickú doménu, nie je to vôbec fakt, že vám to vyhovuje. Certifikáty SSL s podporou IDN je možné zakúpiť od spoločností ako GlobalSign, Thawte, Comodo alebo Symantec.

Na záver

Pri výbere SSL certifikátu si všimnite, ktoré certifikáty si vaši konkurenti vybrali a len spoločnosti s rovnakým produktom, počet divákov a spôsob, ako si s ním vymieňať informácie. Všimnite si tiež, že príjemným bonusom k nákupu certifikátu SSL bude skutočnosť, že stránky s pripojením HTTPS sú umiestnené nad zvyškom Google. Okrem toho, ako nedávno oznámila spoločnosť Google, všetky stránky bez certifikátov SSL a prijímajúce heslá a čísla kreditných kariet sa umiestnia do prehliadača Google Chrome ako nebezpečné. To je ďalší dôvod myslieť na získanie SSL certifikátu, najmä preto, že dnes je HTTPS pripojenie oveľa dostupnejšie pre používateľov ako pred niekoľkými rokmi, a niektoré spoločnosti ponúkajú ziskovú akciu a dokonca dávajú certifikáty ako bonus.

Zanechajte Svoj Komentár